第一步、pom中引入所需要的依赖
第二步、在启动项目的时候会加载如下方法
该方法的大致意思是:
1:从配置文件中获取jasypt.encryptor.bean的值,如果获取不到,则使用默认值jasyptStringEncryptor
2:如果配置文件中配置了jasypt.encryptor.bean,则isCustom为true,反之false;意思就是看我们是否在配置文件中指定了自己配置的加密器
3:拿得到的customEncryptorBeanName和isCustom,创建一个DefaultLazyEncryptor加密器对象,并命名为:lazyJasyptStringEncryptor
4:注意:创建的名字为lazyJasyptStringEncryptor的DefaultLazyEncryptor加密器对象,本身就是个StringEncryptor(可以用于加密解密);
第三步、查看DefaultLazyEncryptor的构造方法
DefaultLazyEncryptor内部维护了一个SingleTon<StringEncryptor>,在第二步创建的加密器对象在行使加密或解密功能时,实际上是其内部维护的SingleTon<StringEncryptor>在行使加密或解密功能;那么问题来了,这个SingleTon<StringEncryptor>是怎么得到的?
它有两个来源:
第一个来源:上图中的标识1,根据从第二步传递过来的customEncryptorBeanName,从spring容器中来获取加密器对象(第四步再介绍)
第二个来源:上图中的标识4,当从spring容器中获取不到指定的加密器时,jasypt会创建一个默认的加密器对象,如下图
总结以上得知:如果我们没有自己在spring容器中创建加密器对象的话,则需要在配置文件中定义jasypt.encryptor.password,从而让jasypt来帮我们生成一个默认的加密器对象,并将该对象放入DefaultLazyEncryptor
的Singleton<StringEncryptor>中。
此时加密器已经完全创建好,我们只需要在需要用的地方@Autowired注入加密器对象之后,就可以使用加密器对象进行加密或解密了。
注意:此时spring容器中只有一个名字为lazyJasyptStringEncryptor、类型为StringEncryptor加密器对象;所以直接通过@Autowired就可以注入到需要使用的地方
但是这样的话,需要把加密所需要的密码写在配置文件中,如果别人拿到了加密所用的密码,那么我们的加密也就没有了意义。所以我们可以自己定义加密器,把密码和其他配置都写到自定义的加密器中,就相对安全多了。看下一步
第四步、补充第三步的第一个来源
通过标识1,发现会根据customEncryptorBeanName从spring容器中获取加密器对象,如果获取到了就不再让jasypt创建默认的加密器对象了;如果获取到了,就把获取到的加密器对象放到DefaultLazyEncryptor
的Singleton<StringEncryptor>中。
回看第二步,会发现customEncryptorBeanName是从配置文件中根据jasypt.encryptor.bean来获取的,如果没有配置,则默认为jasyptStringEncryptor;
所以我们可以创建一个名字为jasyptStringEncryptor的加密器(此时配置文件中不需要指定jasypt.encryptor.bean)
也可以创建一个任意名字的加密器(此时需要在配置文件中通过jasypt.encryptor.bean来指定创建的加密器的名字)
总结以上得知:我们可以通过自定义加密器,来隐藏加密器的相关配置;从而让加密器相对安全。
注意:此时spring容器中有了两个加密器对象:
一个是第二步中名字为lazyJasyptStringEncryptor、类型为DefaultLazyEncryptor加密器对象(它里面拥有我们自定义的加密器对象的引用;如果使用lazyJasyptStringEncryptor来进行加解密,则本质还是使用的我们自定义的那个加密器)
另一个是我们自己定义的加密器,名字可以为jasyptStringEncryptor,也可以是任意名字。
那么在需要使用加密器的地方,我们就要注意注入时的写法了:@Autowired和@Resource的区别