Java经典教程:数据库密码配置项都不加密?心也太大了吧!

最新推荐文章于 2022-08-31 23:10:27 发布
最新推荐文章于 2022-08-31 23:10:27 发布
阅读量601 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen801090/article/details/105813870
版权
本文探讨了Java项目中配置文件的安全性,强调了数据库密码等敏感信息不应明文存储。通过引入jasypt-spring-boot组件,演示了如何加密配置项,包括设置加密密钥、自定义前后缀以及增强加密安全性。建议将加密密钥通过命令行参数、环境变量或系统环境变量来保护,以防止信息泄露。
摘要由CSDN通过智能技术生成

先看一份典型的配置文件

... 省略 ...

## 配置MySQL数据库连接
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://121.196.xxx.xxx:3306/user?useUnicode=true&characterEncoding=utf-8
spring.datasource.username=root
spring.datasource.password=123456

## 配置Redis缓存连接
redis.host=121.196.xxx.xxx
redis.port=6379
redis.password=111111

## 配置SMS短信服务连接
ali.sms.access_key_id=2zHmLdxAes7Bbe2w  
ali.sms.access_key_secret=bImWdv6iy0him8ly

... 省略 ...

这是节选自某个典型的Spring Boot项目的application.properties配置文件。

嘘… 偷偷告诉我,是不是很多小伙伴也都是这么写的?

这乍一看没啥问题,很多人会觉得理所当然。包括我自己也看到过很多的项目(包括很多开源项目)是这么写的。

但仔细一琢磨,发现:

Java经典教程:数据库密码配置项都不加密?心也太大了吧!

 

是的! 很多项目的配置文件里,包括数据库密码、缓存密码、亦或是一些第三方服务的Key都是直接配在里面,没有做任何加密处理!

有人会说这个配置文件反正是我自己的,有啥风险?

这个嘛,之前倒是看到过一个例子,一个程序员把自己公司的项目代码上传到了自己的GitHub仓库里了,结果配置文件忘了处理,导致公司数据库泄露,关键问题是,这个公司还是个酒店管理公司,因此后果可想而知了…

Java经典教程:数据库密码配置项都不加密?心也太大了吧!

 

换个角度想,假如当时那个项目的配置文件里,所有重要信息都经过了加密,那这一幕大概率就不会发生了。所以,即使是项目的配置文件,重要的信息也得加密!

哪些信息要加密呢?

一般来说,项目配置文件里,所有涉及信息安全的配置项(或字段)都应该做处理,典型的比如:

  • 用到的数据库、缓存的密码
  • 用到的中间件、消息队列的密码
  • 用到的各种第三方服务的Access_Key
  • 其他第三方服务的通信信息
  • …等等

总而言之,关键字段都应该保护起来,最起码不能用明文直接写在配置文件里!

如何加密配置项呢?

方法非常简单,几个步骤即可完成,先来演示一个最简版本:

1、首先建立一个基础的Spring Boot工程

这就不再赘述了

2、引入jasypt-spring-boot加密组件

通过jasypt-spring-boot这个开箱即用的加密组件来引入Jasypt这个强大的加密库

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-s
最低0.47元/天 解锁文章
千锋python和唐唐
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
谁说专科学历找不到Java工作?自学Java,第一份工作13k。
slw213106的博客
11-25 336
现在经常会在网上看到说Java饱和了,专科找不到工作,不是科班找不到工作之类的话。作为已经成功转行的我,现在明白了一个道理: 那些顺利转行成功的,不会去网上说自己转行有多么容易; 但是那些转行不成功的,就会到网上宣传行业饱和了,专科找不到工作。 现在学的人确实越来越多了,但是学的好,达到公司招聘标准的却没有几个。 这是一个技术行业,最终能不能找到工作,找到什么样的工作主要还是看技术学的怎么样,学历,专业对口只是一个人的加分,如果不是进大公司,只是选择一些中小公司的话,公司主要看重的还是这个人的实际
Spring数据库连接等配置加密
07-22
博客地址 https://blog.csdn.net/u013271384/article/details/81153712
java隐藏密码_java-Spring Boot如何在属性fi中隐藏密码
weixin_39932330的博客
02-26 279
在已经提出的解决方案中,我可以添加一个选配置外部PropertySource,例如Vault。配置Vault服务器PropertySource(仅适用于DEV,不适用于PROD)写秘密PropertySource验证机密PropertySource将以下依赖添加到您的Spring Boot目中:org.springframework.cloudspring-cloud-starter-va...
Java 中如何加密配置文件中的数据库账号和密码
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
03-06 929
????????关注后回复“进群”,拉你进程序员交流群????????作者丨鸭血粉丝Tang来源丨Java极客技术(ID:Javageektech)作为程序员每天的开发工作都离不开跟数据库打交道,而且我们的应...
mysql数据库配置密码登陆参数_安装中没有设置登陆密码的情况下,重置mysql密码的方法...
weixin_39644952的博客
01-28 1354
刚刚给同学解决了一个修改MySQL密码的问题。我同学在安装过程中没有设置mysql的登陆密码。重置mysql密码的方法:1.首先,停止mysql,服务2.进入MySQL安装目录下的bin目录,这样就进入mysql安装目录了,3.进入mysql安全模式,当mysql启动起来后,不用输入密码就能进入数据库,命令为mysqld -nt --skip-grant-tables4.重新打开一个cmd命令窗口...
mybatis-generator如何从环境变量中使用数据库密码
HHoao的博客
08-31 600
mybatis-generator如何从环境变量中使用数据库密码(使用gradle)
40000+字超强总结?阿里P8把Java全栈知识体系详解整理成这份PDF
xiaohao718的博客
06-27 1283
40000 +字长文总结,已将此文整理成PDF文档了,需要的见文后下载获取方式。全栈知识体系总览Java入门与进阶面向对象与Java基础基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制:A. Java进阶 - Java 集合框:Java 集合框架应用是极其广泛的,对于其总体框架用法及源码都必要深刻理解。B. Java进阶 - Java 集合框之 Collection源码解读:对核的Collection类进行源码解读。C. Java进阶 - Java 集合框之 Map & Set 源码解读
Java 全栈知识体系( PDF 可下载)
m0_67698950的博客
03-17 5344
40000 +字长文总结,民工哥已将此文整理成PDF文档了,需要的见文后下载获取方式。 全栈知识体系总览 Java入门与进阶 面向对象与Java基础 Java 基础 - 面向对象 Java 基础 - 知识点 Java 基础 - 图谱 & Q/A 基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制: Java 基础 - 泛型机制详解 Java泛型这个特性是从JDK 1.5才开始加入的,因此为了兼容之前的版本
Java 全栈知识体系
weixin_70730532的博客
07-27 6583
40000 +字长文总结。 面向对象与Java基础 Java 基础 - 面向对象Java 基础 - 知识点Java 基础 - 图谱 & Q/A基础知识点复习完了以后,我们需要深入的理解Java中的一些基础机制:Java 基础 - 泛型机制详解Java泛型这个特性是从JDK 1.5才开始加入的,因此为了兼容之前的版本,Java泛型的实现采取了“伪泛型”的策略,即Java在语法上支持泛型,但是在编译阶段会进行所谓的“类型擦除”(Type Erasure),将所有的泛型表示(尖括号中的内容)都替换为具体的
springboot数据源配置
Burette_Lee的博客
11-19 721
在学习springboot时,需要将目中的entity映射到MySQL数据库中,因此需要进行一些配置 步骤一:在pom.xml添加如下的依赖 &lt;dependency&gt; &lt;groupId&gt;mysql&lt;/groupId&gt; &lt;artifactId&gt;mysql-connector-java&lt;/artifactId&gt; &lt...
基于jar包带参数的java软件部署
qq_28217861的博客
12-22 452
@T基于jar包带参数的java软件部署OC windows环境: 可用已下命令启动: ```powershell java -jar tsm.jar --spring.datasource.url=jdbc:mysql://1.2.3:3308/dbname? --useUnicode=true --characterEncoding=utf-8 --useSSL=true --allowMultiQueries=true --serverTimezone=UTC --spring.datasource
20220619-Java程序如何在linux后台运行以及临时属性配置
weixin_45707639的博客
06-19 357
带&的命令行,即使terminal(终端)关闭,或者电脑死机程序依然运行(前提是你把程序递交到服务器上); 2>&1的意思: 这个意思是把标准错误(2)重定向到标准输出中(1),而标准输出又导入文件output里面,所以结果是标准错误和标准输出都导入文件output里面了。 至于为什么需要将标准错误重定向到标准输出的原因,那就归结为标准错误没有缓冲区,而stdout有。这就会导致 >output 2>output 文件output被两次打开,而stdout和stderr将会竞争覆盖,这肯定不是我门想要的.
数据库密码配置都不加密太大了吧!
CodeSheep
04-25 2608
先看一份典型的配置文件 ... 省略 ... ## 配置MySQL数据库连接 spring.datasource.driver-class-name=com.mysql.jdbc.Driver spring.datasource.url=jdbc:mysql://121.196.xxx.xxx:3306/user?useUnicode=true&characterEncoding=u...
Oauth2.0 security 中对client-secret的加密
qq_40823552的博客
04-21 7126
简单记录了一下今天踩的巨坑,今天利用Oauth做了单点登录,在网上找的案例,但是在研究中发现数据库中存在这么一下这两条数据 实在是不明白其中的client_secret是如何产生的,利用passwordEncoder.encode()去加密配置文件中的client-secret根本不对,在网上找了很久的资料才找到了一个可用的答案 原本的client加载数据库资源是这么写的 @Override public void configure(ClientDetailsServiceConfigurer
漫话:如何给女朋友解释为什么12306会用户信息泄露(上)——密码
weixin_33971205的博客
01-08 238
某天下午,我正在公司愉快的撸代码,突然来了一个电话。原来是女朋友打来的。挂断电话后,我赶紧登录12306改掉了我的密码,还好我各个网站的密码不一样,这样就能很好的避免被撞库了。下班后,回到家中,女朋友第一时间过来找我,一定要我给他解释一下12306的数据泄露背后的知识。明文密码明文密码就是直接可以看懂的,比如123456,admin等等,而不是经过加密显示出****的内容,这种叫做暗码。比如abc...
Spring boot 配置文件明文密码加解密
weixin_44620406的博客
02-23 1584
jasypt 是一个简单易用的加密Java库,使用起来非常简单。 现在我们系统中的一些配置文件中密码还是暴露的,打开配置文件,就能看到密码,如图: 这情况我们如果不想让别人看到数据库密码,所以就要对数据库密码进行加解密 通过jasypt 就可以简单实现 使用方法: 以spring boot 为例 1、 在你的pom.xml配置文件 中增加jasypt 依赖: <depen...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值