如何定义SpringBoot项目配置文件中密码的加密

最新推荐文章于 2024-05-11 15:04:10 发布
最新推荐文章于 2024-05-11 15:04:10 发布
阅读量248 收藏
点赞数
文章标签: java 编程语言 程序人生 经验分享 架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/everehoo/article/details/122644440
版权

前言

项目中的配置文件会有密码的存在,例如数据库的密码、邮箱的密码、FTP的密码等。

配置的密码以明文的方式暴露,并不是一种安全的方式,特别是大型项目的生产环境中,因为配置文件经手的(运维)人员可能很多,也可能是多方的(甲方、乙方甚至第三方)。本文讲述基于 SpringBoot 项目对配置文件中的密码进行加密。

本文实例中密码加密主要用到的是 Jasypt,一个Java的加解密库。

加密步骤

1、在项目中引入以下依赖。

        <dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot</artifactId>
            <version>1.18</version>
        </dependency>
        <dependency>
            <groupId>org.jasypt</groupId>
            <artifactId>jasypt</artifactId>
            <version>1.9.2</version>
        </dependency>

2、在application.yml文件中添加以下配置信息。

# 配置文件密码加密配置
jasypt:
  encryptor:
    password: EbfYkitulv73I2p0mXI50JMXoaxZTKJ7 # 秘钥
    algorithm: PBEWithMD5AndDES # 加密算法
    iv-generator-classname: org.jasypt.iv.NoIvGenerator

(1)从3.0.0jasypt-spring-boot 版本开始,默认的加密/解密算法已更改为PBEWITHHMACSHA512ANDAES_256;3.0.0以下版本默认为 PBEWithMD5AndDES;

(2)上述algorithm 不配置的话,其默认的秘钥也是 PBEWithMD5AndDES;

(3)以上的 jasypt.encryptor.password 并不是很多人理解的 salt(盐),这是加密密钥。代码中的salt是随机生成的,长度默认为8位,生成类默认是 org.jasypt.salt.RandomSaltGenerator,可以通过配置 jasypt.encryptor.salt-generator-classname来修改。

3、通过命令获取密文。

java -cp /Users/shiyanfei/zlb/repository/repository-zlb/org/jasypt/jasypt/1.9.2/jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="Mysql@1234" password=idss@2021 algorithm=PBEWithMD5AndDES

终端执行上述命令会生成密文,其中:

  • /Users/shiyanfei/zlb/repository/repository-zlb/org/jasypt/jasypt/1.9.2/ 是 jasypt-1.9.2.jar 的路径(Linux环境中应该是在/lib包下面),根据需求修改;
  • input 是明文密码,每一个密码都需要执行一次;
  • password 是秘钥。

4、修改原来的密码配置

原来的明文密码值,改为 ENC(xxx) ,其中xxx是密文。

例如:

1)MySQL

spring:
  datasource:
    url: jdbc:mysql://127.0.0.1:3306/ueba?autoReconnect=true&useUnicode=true&characterEncoding=utf-8&allowMultiQueries=true&&useSSL=false
    driver-class-name: com.mysql.jdbc.Driver
    username: root
    password: ENC(2RP1Vdsa+2wdSOgu2biAJkTCU9fnkUGD)

2)Redis

spring:
  redis:
    database: 0
    host: 10.20.24.48
    port: 6379
    password: ENC(JjPTg5GOsjV9ZBIQ2CaHr+96UgMKBgIT)

5、添加注解

启动类上添加@EnableEncryptableProperties。

思考:以上的步骤中,根据 Jasypt 的用法,基本上完成了对配置文件中密码的加密。但是,请思考一下,这样处理是否真的安全合理?

优化

如果按照严格的要求来,这样处理并不是完善的。因为秘钥和密文都暴露出来,依然是不安全的。那么,要如何处理呢?以下是我其中的一个思路,并已在项目中实践。

1、首先,秘钥通过另一个小工具生成,该小工具与项目无关;

小工具是一个独立的完整程序,有打包脚本和启停脚本。篇幅所限,已将源码上传至 GitHub。

2、其次,秘钥不暴露在配置文件中,而写入代码中(正常情况下,秘钥基本不会变动);

/************************ CHANGE REPORT HISTORY ******************************\
 ** Product VERSION,UPDATED BY,UPDATE DATE                                     *
 *   DESCRIPTION OF CHANGE: modify(M),add(+),del(-)                            *
 *-----------------------------------------------------------------------------*
 * V3.0.12,shiyanfei,2021-09-14
 * create 
 *
 *************************** END OF CHANGE REPORT HISTORY ********************/
package com.idss.radar.common.ums.bean;

import org.jasypt.encryption.StringEncryptor;
import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * @author : shiyanfei
 * @description : <p>自动配置加密信息</p>
 * @see : com.idss.radar.common.ums.bean
 * @since : 2021-09-14
 */
@Configuration
public class EncryptorConfig {
    @Bean("jasyptStringEncryptor")
    public StringEncryptor jasyptStringEncryptor() {
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword("EbfYkitulv73I2p0mXI50JMXoaxZTKJ7");
      	// 注释部分为配置默认
        config.setAlgorithm("PBEWithMD5AndDES");
//        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
//        config.setProviderName("SunJCE");
//        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
//        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
//        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        return encryptor;
    }
}

3、删除配置文件中的信息

# 配置文件密码加密配置
jasypt:
  encryptor:
    password: EbfYkitulv73I2p0mXI50JMXoaxZTKJ7 # 秘钥
    algorithm: PBEWithMD5AndDES # 加密算法
    iv-generator-classname: org.jasypt.iv.NoIvGenerator

4、以上处理还有一个好处,就是优化后的项目,既支持明文,也支持密文,密文只要加函数 ENC(xxxx)。

总结

解决问题的方案没有最好的,只有更好的。随着要求的不断提高,思考的不断深入,解决问题的方案才会逐步趋近完美。

热爱Java的小透明
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Springboot项目使用jasypt加密配置文件的敏感信息
lzhfdxhxm的博客
09-15 4102
项目背景 Spring Boot 2.0.8 在项目,经常需要在配置文件配置一些敏感信息,比如数据库用户名和密码,redis、mq的连接信息等。如果直接写明文,很容易造成密码泄露等安全问题。 jasypt简介 Jasypt 是一个 Java 库,它允许开发者以最小的努力为他/她的项目添加基本的加密功能,而且不需要对密码学的工作原理有深刻的了解。 jasypt 和spring boot的版本对应关系
SpringBoot项目配置文件密码加密
追梦1819
11-17 3661
SpringBoot项目配置文件密码加密
SpringBoot启动自动解密加密配置
最新发布
weixin_54925172的博客
05-11 394
代表了Spring应用程序的环境,包括了所有配置属性,如配置文件、系统属性等。接口是Spring Boot提供的一个用于在Spring应用程序启动过程对。它允许你在Spring Boot应用程序启动时修改或增强。如何在springboot启动过程自动解密配置文件加密部分。然后我们来看看效果,访问controller试试。ok,已经成功,希望对各位大佬有帮助。首先我们需要搭建一个简单的springboot项目。创建之前,对环境属性进行修改。然后就是我们的解密工具类。废话不多说直接上代码。
springboot 密码加密
2301_76965813的博客
04-16 1978
是启动spring容器的关键方法复制来注册我们下面的postProcessors。
数据库密码加密
weixin_38972910的博客
03-17 4566
1.依赖 <!-- 数据库密码加密 --> <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>2.1.0</version>
对spring boot yml配置文件敏感信息加密处理的两种方式
热门推荐
lty13142的博客
02-10 1万+
yml配置文件敏感信息无非就是数据库密码,redis密码,以及整合的其他实例的密码。 本文有手动配置加密处理和整合Jasypt方式两种方式 注意:整合Jasypt有个大坑:Spring boot2.2.x版本无论搭配Jasypt任何版本,打包后在Windows上正常运行,但是发布到linux上运行都会出现无法解密的问题! 方式一:手动配置加密处理(手动配置分三种情况) 1、数据库密码加密 如果项目整合的mybatis-plus存在数据源自动配置,需要通过yml获...
Springboot项目对数据库用户名密码实现加密过程解析
08-19
本文详细介绍了如何在Springboot项目实现数据库用户名密码加密过程,包括使用jasypt库对密码进行加密配置加密后的密码密文到Spring Boot配置文件,以及设置加密的秘钥环境变量。希望本文能够对大家的学习和...
SpringBoot配置文件数据库密码加密两种方案(推荐)
08-25
SpringBoot项目经常将连接数据库的密码明文放在配置文件里,安全性就比较低一些,尤其在一些企业对安全性要求很高,因此我们就考虑如何对密码进行加密,文给大家介绍加密的两种方式,感兴趣的朋友一起看看吧
Springboot配置文件内容加密代码实例
08-25
Springboot配置文件内容加密代码实例是指在Springboot项目配置文件的敏感信息进行加密,以保护项目的安全。以下是对该实例的详细介绍。 一、加密工具类的创建 在使用jasypt-spring-boot-starter进行加密之前,...
SpringBoot项目application.yml文件数据库配置密码加密的方法
08-19
主要介绍了SpringBoot项目application.yml文件数据库配置密码加密的方法,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于Jasypt对SpringBoot配置文件加密
08-25
主要介绍了基于Jasypt对SpringBoot配置文件加密,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot配置文件敏感信息加密
柳落青
04-14 943
jasypt 开源地址:asypt-spring-boot 官网:http://www.jasypt.org jasypt的使用 引入依赖 gradle: compile group: 'com.github.ulisesbocchio', name: 'jasypt-spring-boot-starter', version: '3.0.4' maven: <dependency> <groupId>com.github.ulisesbocchio</groupId&
SpringBoot配置文件密码加密保存笔记
qq_53121751的博客
09-02 853
SpringBoot配置文件密码加密保存笔记
Jasypt加解密代码
qq_30594137的博客
06-06 383
【代码】Jasypt加解密代码。
拒绝裸奔,使用jasypt为SpringBoot配置文件进行加密
ifever的博客
07-03 2000
平日使用Github上传代码时,不可避免的会遇到一个问题就是配置文件的敏感信息的处理,如MySQL的用户名密码,Redis的密码等。而如果一不注意提交到Github后,无异于出门不锁还留把钥匙,后果不堪设想, 近些年开源仓库泄露密码事件屡见不鲜,一旦事故发生,面临的不仅是经济损失,更有牢狱之灾,因此作为开发者基本的安全意识还是需要具备。但每次提交代码又需要手动替换内容,属实麻烦了许多,因此有没有一种方式可以对配置信息进行加密,即使误提交后也不用担心呢?当然是有的,我们可以使用开源项目为我们的代码保驾护航。
SpringBoot 集成 jasypt 进行数据加解密(2.x与3.x区别)
来都来了
06-14 1300
jasypt简介:Jasypt是一个Java库,允许开发人员以最小的努力将基本的加密功能添加到项目,而无需深入了解加密协议的实现细节。从而进行对数据库部分字段加解密
Jasypt对springboot配置文件加密的使用
FangQiongHao的博客
02-08 2444
1. 引入jar <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>2.0.0</version> </dependency> 2. 配置application.xml文件 # SpringBoo
怎么对springboot项目 配置文件里的明文密码加密
06-09
对于 Spring Boot 项目配置文件,我们可以使用 Jasypt(Java Simplified Encryption)来加密明文密码。Jasypt 提供了一个简单的 API 来在代码加密和解密数据。以下是实现步骤: 1. 添加 Jasypt 依赖 在 pom.xml 文件添加 Jasypt 依赖: ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>2.1.0</version> </dependency> ``` 2. 配置加密算法 在 application.properties 文件添加以下配置: ```properties jasypt.encryptor.algorithm=PBEWithMD5AndDES ``` 这里使用的是 PBEWithMD5AndDES 加密算法,可以根据需要选择其他算法。 3. 加密明文密码 使用 Jasypt 提供的 API 对密码进行加密。例如,我们想要加密密码为 "123456",可以使用以下代码进行加密: ```java import org.jasypt.util.password.StrongPasswordEncryptor; String password = "123456"; StrongPasswordEncryptor passwordEncryptor = new StrongPasswordEncryptor(); String encryptedPassword = passwordEncryptor.encryptPassword(password); System.out.println(encryptedPassword); ``` 将加密后的结果(例如,"EBXzrCJLxKZUeMl6x1cF8Q==")复制到配置文件密码字段。 4. 解密密码 在代码可以使用以下方法解密加密后的密码: ```java import org.jasypt.util.password.StrongPasswordEncryptor; String password = "123456"; String encryptedPassword = "EBXzrCJLxKZUeMl6x1cF8Q=="; StrongPasswordEncryptor passwordEncryptor = new StrongPasswordEncryptor(); boolean isPasswordCorrect = passwordEncryptor.checkPassword(password, encryptedPassword); System.out.println(isPasswordCorrect); ``` 这里的 isPasswordCorrect 变量将会是 true,表示密码正确。 通过以上步骤,我们就可以在 Spring Boot 项目安全地加密配置文件的明文密码了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值