SpringBoot配置文件、隐私数据脱敏的最佳实践！

com.github.ulisesbocchio

jasypt-spring-boot-starter

2.1.0

配置文件加入秘钥配置项jasypt.encryptor.password，并将需要脱敏的value值替换成预先经过加密的内容ENC(

mVTvp4IddqdaYGqPl9lCQbzM3H/b0B6l)。

这个格式我们是可以随意定义的，比如想要abc[

mVTvp4IddqdaYGqPl9lCQbzM3H/b0B6l]格式，只要配置前缀和后缀即可。

jasypt:

encryptor:

property:

prefix: “abc[”

suffix: “]”

ENC(XXX）格式主要为了便于识别该值是否需要解密，如不按照该格式配置，在加载配置项的时候jasypt将保持原值，不进行解密。

spring:

datasource:

url: jdbc:mysql://1.2.3.4:3306/xiaofu?useSSL=false&useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&ze oDateTimeBehavior=convertToNull&serverTimezone=Asia/Shanghai

username: xiaofu

password: ENC(mVTvp4IddqdaYGqPl9lCQbzM3H/b0B6l)

秘钥

jasypt:

encryptor:

password: 程序员内点事(然而不支持中文)

秘钥是个安全性要求比较高的属性，所以一般不建议直接放在项目内，可以通过启动时-D参数注入，或者放在配置中心，避免泄露。

java -jar -Djasypt.encryptor.password=1123 springboot-jasypt-2.3.3.RELEASE.jar

预先生成的加密值，可以通过代码内调用API生成

@Autowired

private StringEncryptor stringEncryptor;

public void encrypt(String content) {

String encryptStr = stringEncryptor.encrypt(content);

System.out.println(“加密后的内容：” + encryptStr);

}

或者通过如下Java命令生成，几个参数D:\maven_lib\org\jasypt\jasypt\1.9.3\jasypt-1.9.3.jar为jasypt核心jar包，input待加密文本，password秘钥，algorithm为使用的加密算法。

java -cp D:\maven_lib\org\jasypt\jasypt\1.9.3\jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input=“root” password=xiaofu algorithm=PBEWithMD5AndDES

一顿操作后如果还能正常启动，说明配置文件脱敏就没问题了。

敏感字段脱敏

======

生产环境用户的隐私数据，比如手机号、身份证或者一些账号配置等信息，入库时都要进行不落地脱敏，也就是在进入我们系统时就要实时的脱敏处理。

用户数据进入系统，脱敏处理后持久化到数据库，用户查询数据时还要进行反向解密。这种场景一般需要全局处理，那么用AOP切面来实现再适合不过了。

首先自定义两个注解@EncryptField、@EncryptMethod分别用在字段属性和方法上，实现思路很简单，只要方法上应用到@EncryptMethod注解，则检查入参字段是否标注@EncryptField注解，有则将对应字段内容加密。

@Documented

@Target({ElementType.FIELD,ElementType.PARAMETER})

@Retention(RetentionPolicy.RUNTIME)

public @interface EncryptField {

String[] value() default “”;

}

@Documented

@Target({ElementType.METHOD})

@Retention(RetentionPolicy.RUNTIME)

public @interface EncryptMethod {

String type() default ENCRYPT;

}

切面的实现也比较简单，对入参加密，返回结果解密。为了方便阅读这里就只贴出部分代码，完整案例Github地址：

https://github.com/chengxy-nds/Springboot-Notebook/tree/master/springboot-jasypt

@Slf4j

@Aspect

@Component

public class EncryptHandler {

@Autowired

private StringEncryptor stringEncryptor;

@Pointcut(“@annotation(com.xiaofu.annotation.EncryptMethod)”)

public void pointCut() {

}

@Around(“pointCut()”)

public Object around(ProceedingJoinPoint joinPoint) {

/**

• 加密

*/

encrypt(joinPoint);

/**

• 解密

*/

Object decrypt = decrypt(joinPoint);

return decrypt;

}

public void encrypt(ProceedingJoinPoint joinPoint) {

try {

Object[] objects = joinPoint.getArgs();

if (objects.length != 0) {

for (Object o : objects) {

if (o instanceof String) {

encryptValue(o);

} else {

handler(o, ENCRYPT);

}

//TODO 其余类型自己看实际情况加

}

}

} catch (IllegalAccessException e) {

e.printStackTrace();

}

}

public Object decrypt(ProceedingJoinPoint joinPoint) {

Object result = null;

try {

Object obj = joinPoint.proceed();

if (obj != null) {

if (obj instanceof String) {

decryptValue(obj);

} else {

result = handler(obj, DECRYPT);

}

//TODO 其余类型自己看实际情况加

}

} catch (Throwable e) {

e.printStackTrace();

}

return result;

}

。。。

}

紧接着测试一下切面注解的效果，我们对字段mobile、address加上注解@EncryptField做脱敏处理。

@EncryptMethod

@PostMapping(value = “test”)

@ResponseBody

public Object testEncrypt(@RequestBody UserVo user, @EncryptField String name) {

return insertUser(user, name);

}

private UserVo insertUser(UserVo user, String name) {

System.out.println(“加密后的数据：user” + JSON.toJSONString(user));

return user;

}

@Data

public class UserVo implements Serializable {

private Long userId;

@EncryptField

private String mobile;

@EncryptField

private String address;

private String age;

}

请求这个接口，看到参数被成功加密，而返回给用户的数据依然是脱敏前的数据，符合我们的预期，那到这简单的脱敏实现就完事了。

知其然知其所以然

========

Jasypt工具虽然简单好用，但作为程序员我们不能仅满足于熟练使用，底层实现原理还是有必要了解下的，这对后续调试bug、二次开发扩展功能很重要。

个人认为Jasypt配置文件脱敏的原理很简单，无非就是在具体使用配置信息之前，先拦截获取配置的操作，将对应的加密配置解密后再使用。

具体是不是如此我们简单看下源码的实现，既然是以springboot方式集成，那么就先从

jasypt-spring-boot-starter源码开始入手。

starter代码很少，主要的工作就是通过SPI机制注册服务和@Import注解来注入需前置处理的类

JasyptSpringBootAutoConfiguration。

在前置加载类

EnableEncryptablePropertiesConfiguration中注册了一个核心处理类

EnableEncryptablePropertiesBeanFactoryPostProcessor。

它的构造器有两个参数，ConfigurableEnvironment用来获取所有配属信息，

EncryptablePropertySourceConverter对配置信息做解析处理。

顺藤摸瓜发现具体负责解密的处理类

EncryptablePropertySourceWrapper，它通过对Spring属性管理类PropertySource做拓展，重写了getProperty(String name)方法，在获取配置时，凡是指定格式如ENC(x) 包裹的值全部解密处理。

既然知道了原理那么后续我们二次开发，比如：切换加密算法或者实现自己的脱敏工具就容易得多了。

_案例Github地址：

https://github.com/chengxy-nds/Springboot-Notebook/tree/master/springboot-jasypt_

PBE算法

再来聊一下Jasypt中用的加密算法，其实它是在JDK的JCE.jar包基础上做了封装，本质上还是用的JDK提供的算法，默认使用的是PBE算法PBEWITHMD5ANDDES，看到这个算法命名很有意思，段个句看看，PBE、WITH、MD5、AND、DES 好像有点故事，继续看。

PBE算法（Password Based Encryption，基于口令（密码）的加密）是一种基于口令的加密算法，其特点在于口令是由用户自己掌握，在加上随机数多重加密等方法保证数据的安全性。

PBE算法本质上并没有真正构建新的加密、解密算法，而是对我们已知的算法做了包装。比如：常用的消息摘要算法MD5和SHA算法，对称加密算法DES、RC2等，而PBE算法就是将这些算法进行合理组合，这也呼应上前边算法的名字。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Java工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Java开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加V获取：vip1024b （备注Java）

最后

手绘了下图所示的kafka知识大纲流程图（xmind文件不能上传，导出图片展现），但都可提供源文件给每位爱学习的朋友

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

…(img-qZzGBJWF-1712870425235)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Java开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加V获取：vip1024b （备注Java）
[外链图片转存中…(img-28ylNlcn-1712870425236)]

最后

手绘了下图所示的kafka知识大纲流程图（xmind文件不能上传，导出图片展现），但都可提供源文件给每位爱学习的朋友

[外链图片转存中…(img-gdhaSCq1-1712870425236)]

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-0Z6jMXBB-1712870425236)]