配置文件使用jasypt进行脱敏处理
1.背景
现代互联网充斥着各种攻击、病毒、钓鱼、欺诈等手段,层出不穷。对于一个公司而已最基本的财富无非是代码和数据,“配置属性加密”的应用场景假设如果攻击者通过某些手段拿到部分敏感代码或配置,甚至是全部源代码和配置时,我们的基础设施账号依然不被泄漏。当然手段多种多种多样,比如以某台中毒的内网机器为肉机,对其他电脑进行ARP攻击抓去通信数据进行分析,或者获取某个账号直接拿到源代码或者配置,等等诸如此类。
2.思路
采用比较安全的对称加密算法;
对基础设施账号密码等关键信息进行加密;
构建时、运行时传入密钥,在加载属性前进行解密;
开发环境可以将密钥放置在代码中,测试、灰度、生产等环境放置在构建脚本或者启动脚本中;
3.技术框架
Jasypt是一个优秀的加密库,支持密码、Digest认证、文本、对象加密,此外密码加密复合RFC2307标准。http://www.jasypt.org/download.html
ulisesbocchio/jasypt-spring-boot,集成Spring Boot,在程序引导时对属性进行解密。https://github.com/ulisesbocchio/jasypt-spring-boot
4.处理过程
1.添加maven依赖引入jasypt
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>2.1.0</version>
</dependency>
2.设置加密参数
使用jasypt的jar包进行加解密操作的key,这里我使用了AES加密KEY后存入
jasypt:
encryptor:
#这里可以理解成是加解密的时候使用的密钥
password: XXXXXXXX
-
但是将key放入配置文件中也是不安全的,故在本地开发时我们可以配置启动参数:
-
在生产环境我们也需要在脚本中增加一个启动参数:
-Djasypt.encryptor.password=XXXXXX
3.对参数进行加解密
通过命令行运行 jasypt-1.9.3.jar 包命令来加密解密:
#加密
java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="XXXXXXX" password=U2FsdGVkX1+QYtvTOEIj/62qGia5uPK5L+5/7mgaILs= algorithm=PBEWithMD5AndDES
#解密
java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="XXXXXXX" password=U2FsdGVkX1+QYtvTOEIj/62qGia5uPK5L+5/7mgaILs= algorithm=PBEWithMD5AndDES
效果如下:
-
加密
-
解密