使用spring的PropertyPlaceholderConfigurer加密properties文件中的属性

最新推荐文章于 2023-02-08 14:11:26 发布
最新推荐文章于 2023-02-08 14:11:26 发布
阅读量2.6k 收藏 2
点赞数
分类专栏: Java 文章标签: 安全 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yushouling/article/details/55210569
版权

一、背景

处于安全考虑需要对.properties中的数据库用户名与密码等敏感数据进行加密。项目中使用了Spring3框架统一加载属性文件,所以最好可以干扰这个加载过程来实现对.properties文件中的部分属性进行加密。

属性文件中的属性最初始时敏感属性值可以为明文,程序第一次执行后自动加密明文为密文。

二、问题分析

  1. 扩展PropertyPlaceholderConfigurer最好的方式就是编写一个继承该类的子类。
  2. 外部设置locations时,记录全部locations信息,为加密文件保留属性文件列表。重写setLocations与setLocation方法(在父类中locations私有)
  3. 寻找一个读取属性文件属性的环节,检测敏感属性加密情况。对有已有加密特征的敏感属性进行解密。重写convertProperty方法来实现。
  4. 属性文件第一次加载完毕后,立即对属性文件中的明文信息进行加密。重写postProcessBeanFactory方式来实现。
三、代码实现 
<bean id="propertyConfigurer" class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
	<!-- 加密 -->
		<property name="locations">
			<list>
				<value>classpath:db.properties</value>
			</list>
		</property>
		<!-- 声明需要加密的属性 -->
		<property name="encryptedProps">
			<set>
				<value>db.jdbc.username</value>
                <value>db.jdbc.password</value>
                <value>db.jdbc.url</value>
			</set>
		</property>
	</bean>

 
package com.sgfm.test;

import com.sgfm.base.des.DESEncryptUtil;

public class Test {
	private static final String SEC_KEY = "@^_^123aBcZ*"; // 主密钥
	private static final String ENCRYPTED_PREFIX = "{";// 默认加密前缀
	private static final String ENCRYPTED_SUFFIX = "}";// 默认加密后缀
	
	public static void main(String[] args) throws Exception {
		DESEncryptUtil dec = new DESEncryptUtil();
		String encryptStr = dec.encrypt("tcp://192.168.10.242:61616", SEC_KEY);// 加密
		String decryptStr = dec.decrypt("1B7328C79D9D5BC37E0636947EFEECD6E1459B4260497E31000754134655A350", SEC_KEY);// 解密
		
		System.out.println("加密内容:" + encryptStr);
		System.out.println("解密内容:" + decryptStr);
	}
}
原属性文件 
db.jdbc.driver=com.mysql.jdbc.Driver
db.jdbc.url=jdbc:mysql://localhost:3306/noah?useUnicode=true&characterEncoding=utf8
db.jdbc.username=noah
db.jdbc.password=noah
加密后的文件
db.jdbc.driver=com.mysql.jdbc.Driver
db.jdbc.url=Encrypted:{e5ShuhQjzDZrkqoVdaO6XNQrTqCPIWv8i_VR4zaK28BrmWS_ocagv3weYNdr0WwI}
db.jdbc.username=Encrypted:{z5aneQi_h4mk4LEqhjZU-A}
db.jdbc.password=Encrypted:{v09a0SrOGbw-_DxZKieu5w}

StanleyYu
关注
专栏目录
Spring扩展 PropertyPlaceholderConfigurer处理加密属性文件
XBoy
01-13 5193
当我们在项目配置数据源时,经常会将其对应的一些属性值写到另外的属性文件,这样的好处是可以简化项目维护和部署工作,当项目从开发环境迁移到生产环境的时候,运维人员只需要修改数据源对应的属性文件就可以了,无需关注其他的配置文件。如果在属性文件将数据库的用户名和密码等敏感信息以明文的方式写在文件,这是非常不安全的,所以我们就需要将属性文件的部分信息进行加密处理以提高安全性。下面介绍如何运用spr
spring使用PropertyPlaceholderConfigurer自定义dataSource用户名和密码加密
曾昌的博客
09-03 1488
processProperties这个方法会把当前spring加载的properties的配置信息带过来,而我们重写了processProperties方法就可以修改springproperties信息了,既是把加密的用户名和密码信息解密出来,而后提供给org.apache.commons.dbcp2.BasicDataSource这个类初始化的时候使用。好了,差不多就是这些了,如果你只关注业务代码的实现,那你可以溜了;核心类:MyPlaceholderConfigurer.java。
Spring配置文件内容加密
关鱼吃的博客
07-20 735
org.springframework.beans.factory.config.PropertyPlaceholderConfigurer <bean class="com."> </bean>
PropertyPlaceholderConfigurer 类processProperties()方法自定义数据库用户名和密码解密与替换
最新发布
小包同学_
02-08 357
由于项目需要,不能暴露配置文件数据库账号密码,可使用AES加密进行用户名和密码/在配置文件填写虚假密码/为空(根据实际情况选择)。
使用Spring PropertyPlaceholderConfigurer加载的配置文件加密
蜗牛的高铁
11-12 450
为了使application.properties文件的数据库连接用户名和密码保存成密文,我们做如下处理:首先使用加密程序算出密文,然后spring 加载配置文件的时候再解密,其实就是在数据库连接池调用之前进行了解密工作。 原配置文件如: jdbc.driverClassName=oracle.jdbc.driver.OracleDriver jdbc.url=jdbc:oracle:t...
Spring加载加密的配置文件详解
08-30
接下来,我们需要在Spring的配置文件(如`applicationContext.xml`或`beans.xml`)配置这个自定义的属性文件配置器,以便Spring在启动时使用它加载加密的配置文件: ```xml <beans xmlns="http://www.spring...
spring配置文件加密方法示例
08-28
4. 在属性文件使用加密后的字符串保存敏感信息。 通过这种方法,我们可以确保即使配置文件被泄露,敏感信息也不会以明文形式暴露,从而提高了系统的安全性。同时,这也有助于遵循最佳实践,降低潜在的安全风险...
Spring使用加密外部属性文件
12-02
Spring默认的`PropertyPlaceholderConfigurer`不直接支持加密属性文件,但它提供了扩展点,允许我们自定义实现来处理加密后的属性。以下是一种实现方式: 1. 创建一个自定义的`PropertyPlaceholderConfigurer`...
SpringPropertyPlaceholderConfigurer的使用
10-15
PropertyPlaceholderConfigurer 不仅可以用于加载 Properties 文件,还可以用于实现其他功能,例如属性文件加密解密等。在后续的文章,我们将继续讨论这些扩展应用。 PropertyPlaceholderConfigurer 是 Spring ...
浅谈SpringPropertyPlaceholderConfigurer
blueboz的博客
02-01 1万+
  大型项目,我们往往会对我们的系统的配置信息进行统一管理,一般做法是将配置信息配置与一个cfg.properties文件,然后在我们系统初始化的时候,系统自动读取cfg.properties配置文件的key value(键值对),然后对我们系统进行定制的初始化。   那么一般情况下,我们使用的java.util.Properties,也就是java自带的。往往有一个问题是,每一次加载...
SpringPropertyPlaceholderConfigurer实现对属性的可配置详细讲解
疯狂的蜗牛
12-07 4485
1.先回忆一下经典,还记得我们刚开始做web项目的时候,数据库连接的配置吗? &lt;context:property-placeholder location="classpath:db.properties"/&gt; 这是一种加载.properties的方式,在xml的配置文件直接可以通过${key}引用了 2.主角登场之前再介绍一种方式: &lt;bean id="confi...
Spring支持配置文件加解密解决方案/数据库配置加密读取解决方案
白杨
07-31 1万+
最近的项目有这样一个需求:spring配置文件的数据源配置需要加密,也就是读取的jdbc.properties文件的url、username、password等参数需要进行DES加密,然后在spring把参数赋值给数据源之前解密。先来看看Spring的一段配置:<context:property-placeholder file-encoding="UTF-8" location="classp
PropertyPlaceholderConfigurer扩展,实现数据库密码加密
hdu09075340的博客
03-05 1440
/** * yingyinglicai.com Inc. * Copyright (c) 2013-2013 All Rights Reserved. */ package com.yylc.platform.common.xml.support; import java.text.MessageFormat; import java.util.Properties; import o...
获取Property内容的工具类PropertyUtil
西门飘雪的博客
08-13 3962
经常会需要获取工程property里面的内容,这里写了一个小的工具类便于以后使用 /** * Project Name:box-web * File Name:PropertyUtil.java * Package Name:ivg.cn.box.web.config * Date:2017年12月19日上午10:27:20 * Copyright (c) 2017, bluemo...
SpringBoot配置读取不到 PropertySourcesPlaceholderConfigurer和PropertyPlaceholderConfigurer
静__嘘的博客
01-11 8086
参考 :http://blog.csdn.net/yyhjava/article/details/53283515 PropertySourcesPlaceholderConfigurer和PropertyPlaceholderConfigurer冲突 SpringBoot 会注册一个 PropertySourcesPlaceholderConfigurer, SpringBoot之前版
Spring加载properties文件的两种方式
热门推荐
武哥聊编程
05-10 18万+
我的个人博客站点:http://www.itcodai.com         在项目如果有些参数经常需要修改,或者后期可能需要修改,那我们最好把这些参数放到properties文件,源代码读取properties里面的配置,这样后期只需要改动properties文件即可,不需要修改源代码,这样更加方便。在Spring也可以这么做,而且Spring有两种加载properties文件的方式...
Spring PropertyPlaceholderConfigurer配置文件读取详解及示例
PropertyPlaceholderConfigurer是一个BeanFactoryPostProcessor的子类,它在Spring容器初始化过程发挥作用,能够自动解析XML配置或注解属性值,其包含的 `${...}` 表达式会在运行时被Properties文件的实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值