安全实现SpringBoot配置文件自动加解密

已于 2023-05-24 20:14:00 修改
阅读量8.6k 收藏 11
点赞数 2
文章标签: spring boot 配置加密 jasypt
于 2023-05-24 20:07:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akaiyijian001/article/details/130854446
版权

需求背景

应用程序开发的时候,往往会存在一些敏感的配置属性

  • 数据库账号、密码
  • 第三方服务账号密码
  • 内置加密密码
  • 其他的敏感配置

对于安全性要求比较高的公司,往往不允许敏感配置以明文的方式出现。
通常做法是对这些敏感配置进行加密,然后在使用的地方进行解密。但是有一些第三方的配置可能未提供解密注入点如数据库密码,这时要实现起来就比较麻烦。有没有比较方便的方法可以自动识别并解密。
本次主要针对这个问题,解决敏感配置的加密问题

实现思路

  • 使用已有的第三方包:如jasypt-spring-boot
    • 这是一个针对SpringBoot项目配置进行加解密的包,可以在项目里通过引入依赖来实现。具体使用方式自行搜索
  • 参考官方文档利用官方提供的扩展点自己实现
    • 实现EnvironmentPostProcessor
      • EnvironmentPostProcessor在配置文件解析后,bean创建前调用
    • 实现BeanFactoryPostProcessor(优先考虑)
      • BeanFactoryPostProcessor在配置文件解析后,bean创建前调用
      • 实现方式同EnvironmentPostProcessor基本一致,注入时机更靠后。

通过实现EnvironmentPostProcessor方式解决

实现EnvironmentPostProcessor可自定义环境配置处理逻辑。实现示例如下

    @Override
    public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {
        MutablePropertySources mutablePropertySources = environment.getPropertySources();

        for (PropertySource<?> propertySource : mutablePropertySources) {
            if (propertySource instanceof OriginTrackedMapPropertySource) {
                mutablePropertySources.replace(propertySource.getName(),
                // 实现一个包装类,动态判断
                        new PropertySourceWrapper(propertySource, initSimpleEncryptor("reduck-project")
                                , new EncryptionWrapperDetector("$ENC{", "}"))
                );
            }
        }
    }

EnvironmentPostProcessor 也可以自动扩展配置文件,如果有些项目自己在这个扩展点实现了自己的配置加载逻辑,可能就需要考虑顺序问题。这里比较推荐实现BeanFactoryPostProcessor,他在EnvironmentPostProcessor相关实例处理后调用,且在Bean创建前。可以更好满足需求。

通过实现BeanFactoryPostProcessor解决

  • 实现EncryptionBeanPostProcessor
    • 一般OriginTrackedMapPropertySource是我们自定义的配置加载实例,通过一个包装类替换原先的实例
@RequiredArgsConstructor
public class EncryptionBeanPostProcessor implements BeanFactoryPostProcessor, Ordered {
    private final ConfigurableEnvironment environment;

    @Override
    public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
        MutablePropertySources mutablePropertySources = environment.getPropertySources();

        String secretKey = environment.getProperty("configuration.crypto.secret-key");

        if(secretKey ==  null) {
            return;
        }

        for (PropertySource<?> propertySource : mutablePropertySources) {
            if (propertySource instanceof OriginTrackedMapPropertySource) {
                mutablePropertySources.replace(propertySource.getName(),
                        new PropertySourceWrapper(propertySource
                                , new AesEncryptor(PrivateKeyFinder.getSecretKey(secretKey))
                                , new EncryptionWrapperDetector("$ENC{", "}"))
                );
            }
        }
    }

    @Override
    public int getOrder() {
        return Ordered.LOWEST_PRECEDENCE - 100;
    }
}
  • 定义一个 PropertySource包装类
    • PropertySource只有一个方法 public Object getProperty(String name),只需要实现这个方法,如果是加密配置就解密
public class PropertySourceWrapper<T> extends PropertySource<T> {
    private final String prefix = "$ENC{";
    private final String suffix = "}";

    private final Encryptor encryptor;

    private final PropertySource<T> originalPropertySource;
    private final EncryptionWrapperDetector detector;


    public PropertySourceWrapper(PropertySource<T> originalPropertySource, Encryptor encryptor, EncryptionWrapperDetector detector) {
        super(originalPropertySource.getName(), originalPropertySource.getSource());
        this.originalPropertySource = originalPropertySource;
        this.encryptor = encryptor;
        this.detector = detector;
    }

    @Override
    public Object getProperty(String name) {
        if (originalPropertySource.containsProperty(name)) {
            Object value = originalPropertySource.getProperty(name);
            if (value != null) {
                String property = value.toString();
                if (detector.detected(property)) {
                    return encryptor.decrypt(detector.unWrapper(property));
                }
            }
        }
        return originalPropertySource.getProperty(name);
    }
}
  • 定义一个加解密帮助类EncryptionWrapperDetector
    • 根据前后缀判断是否是加密属性
    • 对加密属性进行包装
    • 对加密属性去除包装
public class EncryptionWrapperDetector {
    private final String prefix;

    private final String suffix;

    public EncryptionWrapperDetector(String prefix, String suffix) {
        this.prefix = prefix;
        this.suffix = suffix;
    }

    public boolean detected(String property) {
        return property != null && property.startsWith(prefix) && property.endsWith(suffix);
    }

    public String wrapper(String property) {
        return prefix + property + suffix;
    }

    public String unWrapper(String property) {
        return property.substring(prefix.length(), property.length() - suffix.length());
    }
}
  • 定义一个加解密类
    • 对配置文件进行加密
    • 对配置问价进行解密
public class AesEncryptor implements Encryptor {

    private final byte[] secretKey;
    private final byte[] iv = new byte[16];

    public AesEncryptor(byte[] secretKey) {
        this.secretKey = secretKey;
        System.arraycopy(secretKey, 0, iv, 0, 16);
    }

    @Override
    public String encrypt(String message) {
        return Base64.getEncoder().encodeToString(_AesUtils.encrypt(secretKey, iv, message.getBytes()));
    }

    @Override
    public String decrypt(String message) {
        return new String(_AesUtils.decrypt(secretKey, iv, Base64.getDecoder().decode(message)));
    }
}
  • 密钥加密存储
    • 采用非对称加密方式对密钥进行加密,用公钥加密后的密钥可以直接写在配置文件中
    • 在进行解密的时候先通过内置的私钥解密获取原始加密密钥
    • 注意细节
      • 私钥存储的时候可以再进行一次加密
      • 私钥可放在META-INF路径下,通过Classloader获取
public class PrivateKeyFinder {
    private static final String PRIVATE_KEY_RESOURCE_LOCATION = "META-INF/configuration.crypto.private-key";
    private static final String PUBLIC_KEY_RESOURCE_LOCATION = "META-INF/configuration.crypto.public-key";
    private final byte[] keyInfo = new byte[]{
            (byte) 0xD0, (byte) 0x20, (byte) 0xDA, (byte) 0x92, (byte) 0xC8, (byte) 0x0B, (byte) 0x6D, (byte) 0x57,
            (byte) 0x48, (byte) 0x7B, (byte) 0x15, (byte) 0x3A, (byte) 0x44, (byte) 0xA0, (byte) 0x98, (byte) 0xC2,
            (byte) 0xF1, (byte) 0x6F, (byte) 0xB6, (byte) 0x09, (byte) 0x2F, (byte) 0x6D, (byte) 0x69, (byte) 0xFB,
            (byte) 0x2D, (byte) 0x02, (byte) 0x00, (byte) 0xCB, (byte) 0xBE, (byte) 0x48, (byte) 0xDD, (byte) 0xD5,
            (byte) 0x90, (byte) 0xC2, (byte) 0x95, (byte) 0x98, (byte) 0x60, (byte) 0x59, (byte) 0x24, (byte) 0xE2,
            (byte) 0xB7, (byte) 0x84, (byte) 0x12, (byte) 0x5D, (byte) 0xB9, (byte) 0xC1, (byte) 0x19, (byte) 0xFF,
            (byte) 0x4F, (byte) 0x01, (byte) 0xB9, (byte) 0xC5, (byte) 0xD8, (byte) 0xD2, (byte) 0x99, (byte) 0xEE,
            (byte) 0xAA, (byte) 0x0D, (byte) 0x59, (byte) 0xF8, (byte) 0x37, (byte) 0x49, (byte) 0x91, (byte) 0xAB
    };

    static byte[] getSecretKey(String encKey) {
        byte[] key = loadPrivateKey();
        return RsaUtils.decrypt(Base64.getDecoder().decode(encKey), new PrivateKeyFinder().decrypt(Base64.getDecoder().decode(key)));
    }

    static String generateSecretKey() {
        return Base64.getEncoder().encodeToString(RsaUtils.encrypt(new SecureRandom().generateSeed(16), Base64.getDecoder().decode(loadPublicKey())));
    }

    static String generateSecretKeyWith256() {
        return Base64.getEncoder().encodeToString(RsaUtils.encrypt(new SecureRandom().generateSeed(32), Base64.getDecoder().decode(loadPublicKey())));
    }

    @SneakyThrows
    static byte[] loadPrivateKey() {
        return loadResource(PRIVATE_KEY_RESOURCE_LOCATION);
    }

    @SneakyThrows
    static byte[] loadPublicKey() {
        return loadResource(PUBLIC_KEY_RESOURCE_LOCATION);
    }

    @SneakyThrows
    private static byte[] loadResource(String location) {
        // just lookup from current jar  path
        ClassLoader classLoader = new URLClassLoader(new URL[]{PrivateKeyFinder.class.getProtectionDomain().getCodeSource().getLocation()}, null);
//        classLoader = PrivateKeyFinder.class.getClassLoader();
        Enumeration<URL> enumeration = classLoader.getResources(location);

        // should only find one
        while (enumeration.hasMoreElements()) {
            URL url = enumeration.nextElement();
            UrlResource resource = new UrlResource(url);
            return FileCopyUtils.copyToByteArray(resource.getInputStream());
        }

        return null;
    }

    private final String CIPHER_ALGORITHM = "AES/CBC/NoPadding";
    private final String KEY_TYPE = "AES";

    @SneakyThrows
    public byte[] encrypt(byte[] data) {
        byte[] key = new byte[32];
        byte[] iv = new byte[16];
        System.arraycopy(keyInfo, 0, key, 0, 32);
        System.arraycopy(keyInfo, 32, iv, 0, 16);
        Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);
        cipher.init(Cipher.ENCRYPT_MODE, new SecretKeySpec(key, KEY_TYPE), new IvParameterSpec(iv));
        return cipher.doFinal(data);
    }

    @SneakyThrows
    public byte[] decrypt(byte[] data) {
        byte[] key = new byte[32];
        byte[] iv = new byte[16];
        System.arraycopy(keyInfo, 0, key, 0, 32);
        System.arraycopy(keyInfo, 32, iv, 0, 16);

        Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);
        cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec(key, KEY_TYPE), new IvParameterSpec(iv));
        return cipher.doFinal(data);
    }
}

综上既可以实现敏感配置文件的加解密,同时可以保障加密密钥的安全传入

AK_GCC
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SpringBoot之ApplicationRunner(一个spring容器启动完成执行的类)
fyk的博客
08-16 1万+
在项目中,可能会遇到这样一个问题:在项目启动完成之后,紧接着执行一段代码。 在SpringBoot中,提供了一个接口:ApplicationRunner。 该接口中,只有一个run方法,他执行的时机是:spring容器启动完成之后,就会紧接着执行这个接口实现类的run方法。 @Component public class PublishEndpoint implements Application...
SpringBoot多环境动态环境切换(nacos)
热门推荐
hauchun的博客
03-31 1万+
目录 1. 环境变量切换 1.1 建立各环境配置文件 1.2 设置环境变量 2. nacos配置中心动态切换 2.1配置文件 2.2 nacos配置 2.3启动服务 3.同一nacos环境下服务不同环境控制 3.1 cloud方式 3.1.1 引入依赖 3.1.2添配置 3.1.3添环境变量 3.1.4启动服务 4.Maven方式 4.1创建配置文件 4.2更改pom文件 4.3maven打包 常见问题 1.读取不到配置 多环境配置说明: ...
SpringBoot安全实践:配置文件密码密与解密
最新发布
emprere的博客
05-26 166
因公众号更改推送规则,请点“在看”并“星标”第一时间获取精彩技术分享点击关注#互联网架构师公众号,领取架构师全套资料 都在这里0、2T架构师学习资料干货分上一篇:2T架构师学习资料干货分享大家好,我是互联网架构师!这两天又有人私信我,给我提需求了。说需要利用 SpringBoot 实现一个对配置文件中的明文密码密的需求。这个需求其实不难,参考 SpringBoot 载 Nacos 的配置相关...
在Spring Boot微服务使用jasypt-spring-boot密和解密yml配置文件
zhangbeizhen18的博客
04-27 4474
记录:424 场景:在Spring Boot微服务,使用jasypt-spring-boot密和解密yml配置文件中的配置信息。
Springboot 接口方式硬通知实现ConfigurationProperties 、@Value 动态刷新
默默不代表沉默
08-31 1429
Springboot 接口方式硬通知实现 动态刷新配置值,@ConfigurationProperties 、@Value 都可以
SpringBoot——》实现属性的解密
小仙~
05-24 915
推荐链接:     总结——》【Java】     总结——》【Mysql】     总结——》【Spring】     总结——》【SpringBootSpringBoot——》实现属性的解密一、项目代码1、启动类:SpringBootApplication.java2、配置文件:application.properties3、解密工.
基于springboot+mybatis的数据库解密源码+sql数据库.zip
07-05
基于springboot+mybatis的数据库解密源码+sql数据库.zip 基于springboot+mybatis的数据库解密源码+sql数据库.zip 基于springboot+mybatis的数据库解密源码+sql数据库.zip 该项目是个人毕设项目源码,评审分...
SpringBoot配置文件中数据库密码密两种方案(推荐)
08-25
本文将介绍两种在SpringBoot配置文件中对数据库密码进行密的方法:使用Jasypt库进行密和利用Druid数据连接池的内置密功能。 **Jasypt密** Jasypt是一个强大的Java密库,易于集成到Spring Boot项目中。...
mybatis 存储数据对象数据自动解密插件
11-19
总之,"mybatis 存储数据对象数据自动解密插件"是Mybatis和SpringBoot环境下增强数据安全的有效工具。它通过自动化的解密处理,降低了开发人员的工作负担,同时提升了系统的数据保护能力。正确地配置和使用这个...
SpringBoot探索三】添配置文件参考案例
02-06
本案例聚焦于"SpringBoot探索三",主要探讨如何添、管理和使用配置文件,以及涉及的密和安全措施。这里我们将深入讲解Spring Boot中的配置文件、其载机制、配置属性、以及使用Java配置和YAML格式的细节。 1. ...
Springboot+PBEWITHHMACSHA512ANDAES-128配置文件密码
11-23
3. **配置Spring Boot**:在Spring Boot的配置文件(如application.yml)中,你需要指定密和解密的相关参数,如密钥的Base64编码、盐值和迭代次数。 4. **编写密器**:实现`PropertySourceEncryptor`接口,用...
详解Spring Boot 自定义PropertySourceLoader
08-30
主要介绍了详解Spring Boot 自定义PropertySourceLoader,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot对配置文件参数进行解密
YiXuanC的博客
04-15 676
我们在系统中,可能需要针对配置文件的敏感信息,如数据库的账号密码等进行使用密文存储,这个时候就需要用到配置文件解密的技术。话不多说,直接说明开整,我这里是引用jasypt实现解密
如何优雅的实现 Spring Boot 接口参数解密
江南一点雨的专栏
03-09 5477
因为有小伙伴刚好问到这个问题,松哥就抽空撸一篇文章和大家聊聊这个话题。 解密本身并不是难事,问题是在何时去处理?定义一个过滤器,将请求和响应分别拦截下来进行处理也是一个办法,这种方式虽然粗暴,但是灵活,因为可以拿到一手的请求参数和响应数据。不过 SpringMVC 中给我们提供了 ResponseBodyAdvice 和 RequestBodyAdvice,利用这两个工具可以对请求和响应进行预处理,非常方便。 所以今天这篇文章有两个目的: 分享参数/响应解密的思路。 分享 ResponseBodyA
ENC数据解密
wbin6510的专栏
11-27 1万+
ENC数据解密 1. ENC的定义 ENC字面含义是电子航海图(Electronic Navigational Charts),特指由国家海道测量机构或国家海道测量机构授权的公司或机构按国际海道测量组织(International Hydrographic Organization,IHO)颁布的《数字式海道测量数据传输标准》(Transfer Standard for Digital Hydrographic Data,编号S-57)制作的矢量电子航海图。 并不是所有的电子航海图都可以称为ENC。 一般
BeanFactoryPostProcessor的详解与案例
weixin_43586974的博客
06-19 2430
BeanFactoryPostProcessor的详解与使用BeanFactory的功能代码演示代码结构图1. 实例对象Bean User2. 自定义BeanFactoryPostProcessor3 .controller访问测试4. 结果 BeanFactory的功能 beanFactoryPostProcessor接口可以在bean未被实例化之前获取bean的定义即配置元数据,然后根据需要进行更改。 beanFactoryPostProcessor里有方法 void postProcessBean
Spring Boot 保护敏感配置的 4 种方法
weixin_47536319的博客
03-14 439
仅供学习使用,不做其他用途! 0、问题背景 用 Spring Boot 框架的小伙伴应该都知道,Spring Boot 有个主要的 applicaiton 配置文件,那就会涉及到敏感配置信息,比如各种中间件的连接用户名密码信息、以及各种第三方的 KEY、密钥等。 这种敏感信息如果直接放在配置文件中肯定是不安全的,甚至在很多行业及领域(比如:支付领域)都是不合规的,所以需要保护 Spring Boot 中的敏感配置信息。 所以,你还在让你的 Spring Boot 系统裸奔吗?如果是,那不妨看看本..
Spring的一种配置文件解密
千里之行始于足下
11-21 2895
最近公司查的严格 要求代码方面安全问题很严格,我呢,就一个人整了整代码出现的一下账号密码 ,在网上找了一种实现解密的方式。 话不多说,说原理: 很简单:读取配置文件的时候 将密码 解密了 然后 下面这些 拿到的是解密之后的 而配置文件properties中是密的东西 username=QnbEdnemerw= password=QnbEdnemerw= <property name
springboot配置文件密过程
两千万程序员的梦yym
10-26 1145
用于application.properties数据库密码密或者其他配置文件内容密   1.导入jar包 &lt;!--jdbc密--&gt; &lt;dependency&gt; &lt;groupId&gt;com.github.ulisesbocchio&lt;/groupId&gt; &lt;artifactId&gt;jasypt-spring-boot-sta...
Jasypt解析springboot配置文件
05-30
要在Spring Boot应用程序中使用Jasypt进行配置文件密和解密,可以按照以下步骤进行操作: 1. 添Jasypt依赖项 在pom.xml文件中添以下依赖项: ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>{jasypt-version}</version> </dependency> ``` 其中,{jasypt-version}是Jasypt版本号,可以根据需要进行修改。 2. 配置密密码 在application.properties或者application.yml文件中添以下配置: ``` jasypt.encryptor.password=your_password ``` 其中,your_password是你用来密和解密配置文件的密码。 3. 配置文件 使用Jasypt提供的命令行工具,对需要密的配置文件进行密。例如,对application.yml进行密,可以使用以下命令: ``` java -cp jasypt-{jasypt-version}.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="your_plaintext_config" password="your_password" algorithm=PBEWithMD5AndDES ``` 其中,your_plaintext_config是明文配置文件,your_password是密密码,algorithm是密算法。 密后的配置文件应该包含ENC()前缀,例如: ``` spring: datasource: url: jdbc:mysql://localhost:3306/mydb?serverTimezone=UTC username: ENC(6kInJ6wB1JQqGz6Z7Qv+Q2z3Oc1k1f1+) password: ENC(Az7+0fJEWfDfPQXa/3GvZQ==) ``` 4. 解密配置文件 Spring Boot应用程序启动时,Jasypt会自动解密密的配置文件。因此,无需做任何额外的配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值