spring项目配置文件不允许出现明文密码的解决方法(jasypt使用方法)

已于 2023-04-19 21:05:26 修改
阅读量2.4k 收藏 14
点赞数
文章标签: spring java servlet
于 2023-04-19 21:04:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BHSZZY/article/details/130251647
版权
文章介绍了在Java项目中,特别是Spring项目,如何使用jasypt库来加密和解密配置文件中的密码,以确保安全。通过在pom.xml中引入jasypt依赖,创建加解密工具类ENC_Util,以及自定义配置文件解析类ENC_PropertyPlaceholderConfigurer,可以实现在项目启动时自动解密配置的加密密码。此外,还提供了在XML文件中使用EL表达式获取解密后密码的方法。
摘要由CSDN通过智能技术生成

一、前言

出于安全考虑,java项目配置文件中不允许出现明文密码;

为了解决这个问题,可以使用jasypt这个jar包,这个jar包可以对字符串进行加解密,项目中引入后,在配置文件中写加密后的密码即可,项目启动时这个jar包就会对密码进行解密,不影响项目正常使用。

java类中也不允许出现明文密码,也可以利用这个jar包进行加解密。

二、解决方法

1.spring项目中,在pom.xml里引入:

<!-- https://mvnrepository.com/artifact/org.jasypt/jasypt -->
<dependency>
    <groupId>org.jasypt</groupId>
    <artifactId>jasypt</artifactId>
    <version>1.9.3</version>
</dependency>

2.编写一个加解密工具类ENC_Util.java,样例如下:


import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;


public class ENC_Util {

    private static final String SALT = "mysalt";

    /**
     * jasypt-1.9.3 加解密工具类( jasypt-spring-boot-starter 是 2.1.2 )
     */

    private static final String PBEWITHMD5ANDDES = "PBEWithMD5AndDES";
    private static final String PBEWITHHMACSHA512ANDAES_256 = "PBEWITHHMACSHA512ANDAES_256";

    public static String encryptWithMD5(String plainText) {
        return encryptWithMD5(plainText,SALT);
    }

    public static String decryptWithMD5(String plainText) {
        //自己的解密方法,解密时,需要把ENC()去掉才行
        if(plainText == null || plainText.length()<=5){
            return "";
        }else{
            plainText = plainText.substring(4,plainText.length()-1);
        }
        return decryptWithMD5(plainText,SALT);
    }

    /**
     * Jasyp2.x 加密(PBEWithMD5AndDES)
     * @param		 plainText      待加密的原文
     * @param		 factor         加密秘钥
     * @return       java.lang.String
     */
    public static String encryptWithMD5(String plainText, String factor) {
        // 1. 创建加解密工具实例
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        // 2. 加解密配置
        EnvironmentStringPBEConfig config = new EnvironmentStringPBEConfig();
        config.setAlgorithm(PBEWITHMD5ANDDES);
        config.setPassword(factor);
        encryptor.setConfig(config);
        // 3. 加密
        return encryptor.encrypt(plainText);
    }

    /**
     * Jaspy2.x 解密(PBEWithMD5AndDES)
     * @param		 encryptedText      待解密密文
     * @param		 factor             解密秘钥
     * @return       java.lang.String
     */
    public static String decryptWithMD5(String encryptedText, String factor) {
        // 1. 创建加解密工具实例
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        // 2. 加解密配置
        EnvironmentStringPBEConfig config = new EnvironmentStringPBEConfig();
        config.setAlgorithm(PBEWITHMD5ANDDES);
        config.setPassword(factor);
        encryptor.setConfig(config);
        // 3. 解密
        return encryptor.decrypt(encryptedText);
    }

    /**
     * Jasyp3.x 加密(PBEWITHHMACSHA512ANDAES_256)
     * @param		 plainText  待加密的原文
     * @param		 factor     加密秘钥
     * @return       java.lang.String
     */
    public static String encryptWithSHA512(String plainText, String factor) {
        // 1. 创建加解密工具实例
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        // 2. 加解密配置
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(factor);
        config.setAlgorithm(PBEWITHHMACSHA512ANDAES_256);
        // 为减少配置文件的书写,以下都是 Jasyp 3.x 版本,配置文件默认配置
        config.setKeyObtentionIterations( "1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        // 3. 加密
        return encryptor.encrypt(plainText);
    }

    /**
     * Jaspy3.x 解密(PBEWITHHMACSHA512ANDAES_256)
     * @param		 encryptedText  待解密密文
     * @param		 factor         解密秘钥
     * @return       java.lang.String
     */
    public static String decryptWithSHA512(String encryptedText, String factor) {
        // 1. 创建加解密工具实例
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        // 2. 加解密配置
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(factor);
        config.setAlgorithm(PBEWITHHMACSHA512ANDAES_256);
        // 为减少配置文件的书写,以下都是 Jasyp 3.x 版本,配置文件默认配置
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        // 3. 解密
        return encryptor.decrypt(encryptedText);
    }

    public static void main(String[] args) {
        String plainText = "3s";
        //这个每次跑的结果不一样
        String encryptWithMD5Str = encryptWithMD5(plainText, SALT);
        //虽然不一样,这个也能正常执行
        String decryptWithMD5Str = decryptWithMD5(encryptWithMD5Str, SALT);

        System.out.println("加密前:"+plainText);
        System.out.println("加密后:"+encryptWithMD5Str);
        System.out.println("解密后:"+decryptWithMD5Str);

        //String encryptWithSHA512Str = encryptWithSHA512(plainText, factor);
        //String decryptWithSHA512Str = decryptWithSHA512(encryptWithSHA512Str, factor);

        //System.out.println("采用SHA512加密前原文密文:" + encryptWithSHA512Str);
        //System.out.println("采用SHA512解密后密文原文:" + decryptWithSHA512Str);
    }

}

可以执行这个类的main方法,把plainText改成待加密内容,执行后就可以生成加密后的内容;
可以修改SALT变量,这个就是加解密用的盐值。

3.自定义一个配置文件解析类ENC_PropertyPlaceholderConfigurer,继承PropertyPlaceholderConfigurer,其中实现对配置文件加密内容的解密操作。样例如下:



import org.springframework.beans.factory.config.PropertyPlaceholderConfigurer;

import java.util.regex.Matcher;
import java.util.regex.Pattern;

public class ENC_PropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer {

    /**
     * 将包含ENC()的value进行转换
     */
    @Override
    protected String convertProperty(String propertyName, String propertyValue) {
        //其实是 ^ENC\(.+\)$ 
        //以ENC开头,包含(,中间1-N个字符,结尾是)的,就匹配成功
        Pattern pattern = Pattern.compile("^ENC\\(.+\\)$");
        Matcher matcher= pattern.matcher(propertyValue);
        if (matcher.find()){
            //如果是这样的格式,说明是加密后的,就返回解密后的内容
            return  ENC_Util.decryptWithMD5(propertyValue);
        }else{
            //否则直接返回即可,不做处理
            return propertyValue;
        }
    }

}

4.把自定义的解析类配置入spring的xml文件中,这样才能让项目启动时使用自己写的这个类。

以本人的项目为例,

项目启动时,一般会先加载web.xml,其中一般会有:

	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>
			classpath:META-INF/app_config/context/context-*.xml
		</param-value>
	</context-param>

这段的意思是会加载resources文件夹下的META-INF/app_config/context/里面所有的以context-开头的xml文件;
(项目打成war包后会是项目名\WEB-INF\classes\META-INF\app_config\context\)

因此,以本人的项目为例,就可以在这个路径下的xml文件里增加这样的配置:

	<bean name="enc_propertyConfiger" class="com.xxx.config.ENC_PropertyPlaceholderConfigurer">
		<property name="ignoreResourceNotFound" value="true" />
		<property name="locations">
			<list>
				<value>META-INF/app_config/properties/db1.properties</value>
				<value>META-INF/app_config/properties/db2.properties</value>
			</list>
		</property>
	</bean>

其中,db1.properties和db2.properties里就是数据库连接的账号密码等信息。

5.修改properties配置文件,把其中明文密码替换为ENC(密文)格式,样例如下:
其中密文可以执行ENC_Util.java得到。

jdbc_driverClass=com.mysql.jdbc.Driver
jdbc_url=jdbc:mysql://127.0.0.1:3306/mydb
jdbc_username=root
#jdbc_password=root
#用秘钥mysalt,加密就是这个,解密就是root(注意每次加密后得到的结果都不一样,不过解密得到的结果都一样)
jdbc_password=ENC(l44BhMR+f40JBsP5euOKKA==)

6.如果有的明文密码是配置在xml文件中的,那就可以用EL表达式${},让它读取properties中的值,例如:

<bean name="secDataSource" class="com.alibaba.druid.pool.DruidDataSource" init-method="init" destroy-method="close">
		<property name="url" value="${jdbc_url}" />
		<property name="username" value="${jdbc_username}" />
		<property name="password" value="${jdbc_password}" />
		<property name="driverClassName" value="${jdbc_driverClass}" />
		...

注意,因为第4步中配置了自定义配置文件解析类,所以扫描到的properties文件就会加载入项目,xml文件就可以用EL表达式获取到值。

自己要先检查下项目中是否已经配置了默认的配置文件解析类,搜索class=“org.springframework.beans.factory.config.PropertyPlaceholderConfigurer”,如果已存在,那就把这个删掉,换成自定义的(自定义的才能加解密)

7.如果ENC_Util.java里SALT变量也不允许存在,那就可以在启动参数中增加秘钥,后续在xml文件中用${}使用。(这个还没有试,感觉应该可以)

https://bbs.csdn.net/topics/392314029
通过 jvm 启动参数 参数 -DXXXXX, 这个XXXXX在springxml里面可以直接通过 ${XXXXX} 引用

-Dmy_salt='mysalt'

然后就可以:

	<bean name="enc_propertyConfiger" class="com.taikang.udp.timer.common.util.config.ENC_PropertyPlaceholderConfigurer">
	    <property name="mySALT" value="${my_salt}" />
		
		<property name="ignoreResourceNotFound" value="true" />
		<property name="locations">
			<list>
				<value>META-INF/app_config/properties/uat/secondaryDB.properties</value>
			</list>
		</property>
	</bean>

public class ENC_PropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer {

    //这样这个值就注入了,后续可以用
    private String mySALT;
    
    public void setMySALT(String mySALT){
        this.mySALT = mySALT;
    }

三、总结

1.jasypt可以对字符串进行加解密

2.spring项目中,可以把加密后的密码配置在properties文件里

3.然后可以自定义PropertyPlaceholderConfigurer,在读取properties的时候进行解密

4.xml中,可以用${}来使用解密后的密码等配置信息

5.java中,可以用jasypt把字符串解密后使用

6.可以在tomcat启动参数中传入全局变量,作为jasypt加解密的秘钥(如果不允许配置在代码里的话),然后在xml中使用${}获取并注入java中使用

追逐梦想永不停
关注
SpringBoot】93、SpringBoot中使用Jasypt实现配置文件中敏感数据加密
Asurplus
05-17 253
Jasypt(Java Simplified Encryption)是一个 Java 库,它允许开发人员以最小的努力为项目添加基本的加密功能,而无需深入了解密码学的工作原理
Javajasypt解决SpringBoot项目application配置文件数据库密码上传git暴露问题解决演示代码
04-02
[Java]jasypt解决SpringBoot项目application配置文件数据库密码上传git暴露问题解决演示代码 Readme内有详细使用文档以及简单原理分析,从此再也不怕密码暴露了
spring框架对配置文件进行加密处理
菜鸡小石头的博客
02-22 1222
本文针对于spring读取jdbc的配置文件进行加密
Spring Boot配置文件敏感信息加密
最新发布
evanYang的博客
09-18 1453
springboot配置敏感信息加密
加密Spring Boot项目配置文件明文密码
锐意工作室
04-08 4212
文章目录加密Spring Boot项目配置文件明文密码添加依赖和插件使用jasypt加密过程小结参考文档 加密Spring Boot项目配置文件明文密码 如果不想在Spring Boot项目配置文件存储明文密码(比如MySQL密码、Redis密码等),一种简单的方法方法是运行Spring Boot应用时以注入环境变量的方式来注入密码,另外一种就是在配置文件中加密存储明文密码。 本文讲解了...
Springboot实现对配置文件中的明文密码加密
Java技术攻略的博客
03-17 4523
我们在SpringBoot项目当中,会把数据库的用户名密码等配置直接放在yaml或者properties文件中,这样维护数据库的密码等敏感信息显然是有一定风险的,如果相关的配置文件被有心之人拿到,必然会给项目造成一定的安全风险;所以为了避免明文密码被直接看到,我们有必要给这些敏感信息做一层加密处理,也就是说,我们的配置文件中配置的都是加密后的密码,在真正需要获取密码的时候再解密出来,这样的话就能很大程度上降低密码被泄漏的风险;接下来我们要介绍一款专门针对这个需求的jar工具,它就是jasypt,我们可以去。
jasyptSpring结合使用说明
weixin_33853794的博客
06-01 580
     jasypt既然是以简单的方式来解决java开发中的加密问题,自然使用起来难度不是很大。加密是从系统安全性方面考虑的,因此jasypt更像是面向方面的解决办法,不管你的系统中配置文件,敏感信息是否已经加密或者没有加密,jasypt都能够轻松的嵌入其中,开发人员就不用专门考虑加密算法和代码的编写。  要想深入了解jasypt是如何将加密解密和摘要算法组织起来,轻松的解决开发中加密问题以及和...
数据库配置文件明文密码进行加密
nanshan36965的博客
04-17 942
变量名与配置类中的“config.setPasswordEnvName("PLATFORM_KEY");否则配置类无法读取变量值。生成加密文件时会需要手动触发配置类生成的对象对数据加密解密,所以配置信息需与配置类一致。在代码中添加configuration配置类,按照如下代码进行配置。该配置不仅可以对数据库中明文密码进行加密,也可以对一些敏感信息进行加密。使用 “ENC(加密后的字符串)” 替换原敏感数据。配置完成后重启电脑,确保配置信息可以成功被加载。pom.xml中添加加密依赖。
项目中关于配置文件密码的加密处理
九天虚空的博客
06-08 9439
项目中关于配置文件密码的加密处理转载地址:http://supanccy2013.iteye.com/blog/2101964    在项目中,为了项目的配置灵活,长把一些常量写在配置文件中,这时涉及一个问题,就是如果配置字段是密码,就不够安全。这个时候需要在配置文件中把密码加密处理。下面是处理方案:     实际遇到的有两种情况,一种是自己写程序来都去配置文件,这个时候处理比较简单,把自己的加...
python 配置文件密码不能是明文_对配置文件内的固定内容加密解密
weixin_39608657的博客
12-11 1659
接到一个需求,背景是对公司的各个服务器环境下的配置文件内存有数据库用户名,数据库密码,因为在配置文件中,许多shell脚本都需要调用配置文件中的数据库用户名,密码,所以一直以明文保存,需求内容就是实现对配置文件内的用户名,密码加密,同时加密后要解决shell脚本文件还可以调用到正确的用户名密码,因此还需要解密。因为是在服务器环境下,所以可以编写java程序,然后将程序打成jar包,通过shell指...
基于JasyptSpringBoot配置文件加密
08-25
使用JasyptSpringBoot配置文件进行加密,可以有效保护配置文件中的敏感信息不被非法获取。 首先,需要在项目的pom.xml文件中加入Jasypt的依赖项。根据所提供的文件内容,可以发现引用了一个特定版本的Jasypt ...
jasypt加密_spring整合.zip
08-06
这个是用于给hibernate的配置文件加密使用jasypt加密_spring整合.zip
jasyptSpring结合使用解决配置文件中数据库密码加密问题
Jack 架构师之路
08-14 4237
引言 最近公司给银行做了一个项目,在进行本地化部署的时候,银行的科技部门对我们的源码进行了安全扫描,在检测报告中有这么一个问题,要求我们的数据库密码不能以明文的 形式出现配置文件中,所以小编需要解决这个问题,但是第一个想法就是,自己重写一个配置文件加载的那个方法,这样我们就可以在拿到密文以后,首先解密然后在使用。 但是查询了一些资料以后发现,这个问题已经有成熟的解决方案了,就是利用jasyp...
如何避免配置文件中的密码被泄露
Go_ahead_forever的博客
12-20 647
这样直接把密码暴露配置文件很容易就被人盗走,比如说我们通常会把自己的代码开源,并且有多次提交的记录,当自己的代码打包放到生产环境去用的时候我们不得不改变配置文件中的密码配置,然后适应生产环境,如果后面我们直接把这次的修改进行提交,发到了远程仓库,那么别人就有可能通过版本回退拿到密码和主机,并且在职场中如果有检查漏洞可能会说:禁止把密码直接填写到项目配置文件中。
网络安全——SpringBoot配置文件明文加密
是江迪呀 的博客
08-21 4207
在日常开发中,项目中会有很多配置文件。比如SpringBoot项目核心的数据库配置、Redis账号密码配置都在propertiesyml配置文件中。
【bug】jasypt-spring-boot 无法解析password
li735514277的博客
09-16 485
jasypt-spring-boot-starter 无法解析password
配置文件加密解密
热门推荐
旭旭1998的博客
10-10 7万+
配置文件中存放着许多重要的东西,比如数据库账号密码什么的,需要对这些内容进行加密储存。 使用到的是jasypt 1.添加Maven依赖 <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version&g
Spring Security使用总结五,加密用户密码,不再使用明文保存密码
zcrazy的博客
11-08 704
这一章主要就是讲加密的
数据库配置文件用户名和密码加密解密
xiaoyaGrace的博客
11-04 1855
import sun.misc.BASE64Decoder; import sun.misc.BASE64Encoder; import javax.crypto.Cipher; import javax.crypto.KeyGenerator; import java.security.Key; import java.security.SecureRandom; public class Te...
JASYPT项目部署中加密配置文件的应用实践
资源摘要信息:"在现代软件项目开发和部署过程中,配置文件中存储的敏感信息,如数据库连接信息和缓存连接信息等账号密码,以明文形式存在是存在安全风险的。为了解决这一问题,可以采用JasyptJava Simplified ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

追逐梦想永不停

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值