仅需两步, 即可完成日常开发中数据库连接池的密文配置.
开发的同学都知道,数据源配置是必不可少的, 目前大多数使用的连接池也是明文密码配置, 这样的配置方式是存在一定的泄露风险的, 比如在多项目并行的情况容易造成开发人员无意中的泄露,因此推荐使用密文配置账号密码. 项目环境: spring-boot 2.3.12.RELEASE druid-spring-boot-starter 1.1.22
第一步: 使用druid自带的工具类进行加密, 获取加密密文和密钥
/**
* 请把publicKey和password复制到配置文件中。
* @throws Exception
*/
@Test
public void druidEncrypt() throws Exception {
//java -cp druid-1.0.16.jar com.alibaba.druid.filter.config.ConfigTools you_password
String password = "123456";
String[] arr = ConfigTools.genKeyPair(512);
System.out.println("privateKey:" + arr[0]);
System.out.println("publicKey:" + arr[1]);
System.out.println("password:" + ConfigTools.encrypt(arr[0], password));
}
第二步:修改配置文件, 附密文配置样例(目前已应用)
spring:
datasource:
url: yourUrl
#连接数据库的用户名
username: yourname
#连接数据库的密码。如果你不希望密码直接写在配置文件中,可以使用ConfigFilter。
publicKey: MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBANRf3gpbZG0ja2Qi89aSlz1pR8YXvi2sSeg+SPXKixWjy8M6VVTevAnPuGBhIaSB0yRyYmWEmlnKBGziIwv9eYECAwEAAQ==
password: RP9+tWLFVtcuV8tjnftPW8tw2Dh+AWlC/W+rvuMru4SdeTkUp1u1VKfSNTyQ1oXeppHR8YlzI+AZoOtwFbFcXw==
#这一项可配可不配,如果不配置druid会根据url自动识别dbType,然后选择相应的driverClassName
#driverClassName
type: com.alibaba.druid.pool.DruidDataSource
druid:
# 连接池的配置信息
# 初始化大小,最小,最大
initialSize: 5
maxActive: 15
minIdle: 5
# 配置获取连接等待超时的时间
maxWait: 60000
# 是否缓存preparedStatement,也就是PSCache。PSCache对支持游标的数据库性能提升巨大,比如说oracle。在mysql下建议关闭。
poolPreparedStatements: false
#要启用PSCache,必须配置大于0,当大于0时,poolPreparedStatements自动触发修改为true。在Druid中,不会存在Oracle下PSCache占用内存过多的问题,可以把这个数值配置大一些,比如说100
maxPoolPreparedStatementPerConnectionSize: -1
#用来检测连接是否有效的sql,要求是一个查询语句,常用select 'x'。
validationQuery: select 'x'
#单位:秒,检测连接是否有效的超时时间。底层调用jdbc Statement对象的void setQueryTimeout(int seconds)方法
validationQueryTimeout: 60
#申请连接时执行validationQuery检测连接是否有效,做了这个配置会降低性能。
testOnBorrow: true
# 归还连接时执行validationQuery检测连接是否有效,做了这个配置会降低性能。
testOnReturn: true
#建议配置为true,不影响性能,并且保证安全性。申请连接的时候检测,如果空闲时间大于timeBetweenEvictionRunsMillis,执行validationQuery检测连接是否有效。
testWhileIdle: true
#连接保持空闲而不被驱逐的最小时间
#minEvictableIdleTimeMillis:
#物理连接初始化的时候执行的sql
#connectionInitSqls:
#当数据库抛出一些不可恢复的异常时,抛弃连接
#exceptionSorter:
#属性类型是字符串,通过别名的方式配置扩展插件,常用的有stat,wall,slf4j
filters: stat,slf4j,wall
filter:
config:
enabled: true
# 通过connectProperties属性来打开mergeSql功能;慢SQL记录
connectionProperties: config.decrypt=true;config.decrypt.key=${spring.datasource.publicKey};druid.stat.mergeSql\=true;druid.stat.slowSqlMillis\=5000
小结: 1 加密密码获取公钥, 2 修改配置文件.
关键配置属性:
publicKey, password, filter:config:enabled:true, config.decrypt=true;config.decrypt.key=${spring.datasource.publicKey}
拓展: druid是使用RSA进行非堆成加解密的, 需要进一步了解的同学可以看看其在何时以及如何实现.