当前位置:   article > 正文

拒绝裸奔,使用jasypt为SpringBoot配置文件进行加密。_jasypt加密配置文件

jasypt加密配置文件

平日使用Github上传代码时,不可避免的会遇到一个问题就是配置文件中的敏感信息的处理,如MySQL的用户名密码,Redis的密码等。而如果一不注意提交到Github后,无异于出门不锁还留把钥匙,后果不堪设想, 近些年开源仓库泄露密码事件屡见不鲜,一旦事故发生,面临的不仅是经济损失,更有牢狱之灾,因此作为开发者基本的安全意识还是需要具备。但每次提交代码又需要手动替换内容,属实麻烦了许多,因此有没有一种方式可以对配置信息进行加密,即使误提交后也不用担心呢?当然是有的,我们可以使用开源项目jasypt为我们的代码保驾护航。

由于网上对于加密配置这一块的文章很多,本文不会特别深入去写配置相关,而是会将如何在配置后进行调试,可按需食用。

目录

环境配置

引入依赖

pom.xml

application.yml

生成密码

配置文件

application-prod.yml

application.yml

使用

调试


环境配置

  • SpringBoot 2.7.12
  • jasypt 3.0.5

引入依赖

pom.xml

首先在项目中引入jasypt的jar包,这里使用了最新版3.0.5。

  1. <!-- jasypt加密工具 -->
  2. <dependency>
  3. <groupId>com.github.ulisesbocchio</groupId>
  4. <artifactId>jasypt-spring-boot-starter</artifactId>
  5. <version>3.0.5</version>
  6. </dependency>

application.yml

接着在application.yml配置对应属性,注意:此处若不配置属性,将使用默认值,如algorithm默认值为PBEWITHHMACSHA512ANDAES_256而property中的默认前后缀为ENC(  需要可自行配置。

  1. # jasypt 配置相关
  2. jasypt:
  3. encryptor:
  4. # 指定加密算法
  5. algorithm: PBEWithMD5AndDES
  6. iv-generator-classname: org.jasypt.iv.NoIvGenerator
  7. # 配置加密参数的前缀和后缀
  8. property:
  9. prefix: ENC(
  10. suffix: )

生成密码

新建单元测试类EncryptConfig用于加密信息的生成,在getEncryptConfigInfo方法中指定密钥,这里仅以123456为例,可根据需求自行调整,使用encryptor对象的encrypt方法对MySQL的相关配置文件加密。(其它诸如Redis等使用方法相同)

  1. @SpringBootTest
  2. public class EncryptConfig {
  3. @Autowired
  4. private StringEncryptor encryptor;
  5. @Test
  6. void getEncryptConfigInfo(){
  7. PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
  8. SimpleStringPBEConfig config = new SimpleStringPBEConfig();
  9. // 需要加密的密钥,可自行配置复杂密码
  10. config.setPassword("123456");
  11. config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256");
  12. config.setKeyObtentionIterations("1000");
  13. config.setPoolSize("1");
  14. config.setProviderName("SunJCE");
  15. config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
  16. config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
  17. config.setStringOutputType("base64");
  18. encryptor.setConfig(config);
  19. // mysql数据库
  20. String url = encryptor.encrypt("jdbc:mysql://192.168.10.20:3306/practice?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&useSSL=false&serverTimezone=GMT%2B8");
  21. String name = encryptor.encrypt("root");
  22. String password = encryptor.encrypt("root");
  23. System.out.println("database url: " + url);
  24. System.out.println("database name: " + name);
  25. System.out.println("database password: " + password);
  26. }
  27. }

执行该测试方法后可以得到加密后的信息如下。

  1. database url: 3bTRSMGvH8sPx1vsjtfuyZp/NYfCX+WVb4kpH2TnfABIPdTBhuklufbhPFjdGc5A4M5wf+0Mx8xfUsgxG6A0evfuSGYoFJhcNOlyCYUtdg1Ar6g2JYd1iKw7B0x2L29WGZkqGpjxIiWBpiPY83d4MQjlJxyvqvb5rJzcCv/Qy1zue4gZaLWIcw7e+FqAP1s2cysgQOyBqs8TK6vefPWt1zzsHnoG7nOJqt2u43pNgVc=
  2. database name: czNCsBjcBYbtqj8pXF+xduuHjT2LLkfD/4IsKJwaAUnnLgJeNmvtu1aK6CA32OC8
  3. database password: bdGU4GB0E8VAs6H3S9MjFKN9i3yxkIIIuIoU0pBEh7M2VxT2aAorFQmOjy/fyWjG

配置文件

将以上生成的加密字符串,使用ENC()包裹,替换原配置文件中的对应属性,此处假设配置文件为application-prod.yml

application-prod.yml

  1. spring:
  2. datasource:
  3. driver-class-name: com.mysql.cj.jdbc.Driver # mysql/MariaDB 的数据库驱动类名称
  4. # 使用ENC包裹生成的密码,如果有指定前后缀,请自行修改
  5. url: ENC(3bTRSMGvH8sPx1vsjtfuyZp/NYfCX+WVb4kpH2TnfABIPdTBhuklufbhPFjdGc5A4M5wf+0Mx8xfUsgxG6A0evfuSGYoFJhcNOlyCYUtdg1Ar6g2JYd1iKw7B0x2L29WGZkqGpjxIiWBpiPY83d4MQjlJxyvqvb5rJzcCv/Qy1zue4gZaLWIcw7e+FqAP1s2cysgQOyBqs8TK6vefPWt1zzsHnoG7nOJqt2u43pNgVc=)
  6. username: ENC(czNCsBjcBYbtqj8pXF+xduuHjT2LLkfD/4IsKJwaAUnnLgJeNmvtu1aK6CA32OC8)
  7. password: ENC(bdGU4GB0E8VAs6H3S9MjFKN9i3yxkIIIuIoU0pBEh7M2VxT2aAorFQmOjy/fyWjG)

由于我们修改的配置文件为application-prod.yml,因此需要在application.yml指定当前加载的配置文件,指定active属性为prod

application.yml

  1. spring:
  2. profiles:
  3. active: prod # 指定当前加载的配置文件环境

使用

由于我们修改了配置文件,如果此时直接启动SpringBoot项目会报错,我们还需要一些小小的配置。在前面的部分制定了密钥为123456,该如何使用呢?可以将该配置信息写入application.yml的jasypt属性中,但这样相当于锁门又把钥匙插门上,比开头好点,但又好不了太多。

我们可以通过配置JVM启动参数的方式来配置密钥,如此密钥仅仅会存在本地,并不会随代码上传而泄露。(当然如果是自己主动泄露那这个方法也将无效了哈。) 

以IDEA2021为例,单击如图所示项目主启动类的下拉框,点击Edit Configurations选项

进入项目启动配置管理页面,在VM options框中填写如下代码,123456是我们设置的密钥

-Djasypt.encryptor.password=123456

 如果没有看到该选项,请点击上方的Modify Options,勾选Add VM options即可。 

填写完成后依次点击ApplyOK按钮后,再次启动项目即可正常加载。

调试

在完成配置文件中敏感信息的加密后,如果在指定了加密参数文件的环境下执行单元测试时(如application-prod.yml)会出现Reason: java.lang.IllegalStateException: either 'jasypt.encryptor.password'的错误,而切换了未加密参数的配置文件又会恢复正常,但我们需要使用加密参数的配置文件就不行了,因此对于单元测试我们也需要做JVM参数配置。

如同上一步中我们需要点击Edit Configurations选项,进入项目启动类配置的管理页面,为保证后续执行正常,选择当前已经存在的单元测试方法,点击左上角的➖将其移除,之后点击左下角的Edit configuration templates选项(也可以为每个测试方法手动配置,不过太麻烦了),该选项将为每个单元测试配置模板。

找到我们的JUnit,在如图所示的红框中填入如下参数,注意此处已经有参数,请打一个空格后填入。

-Djasypt.encryptor.password=123456

填写完成后依次点击ApplyOK按钮后,再次执行单元测试即可正常运行。

无需担心修改配置影响其它环境的配置文件执行,没有加密信息存在时,jayspt将不会执行。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/人工智能uu/article/detail/945670
推荐阅读
相关标签
  

闽ICP备14008679号