加密Web项目中配置文件中的密码

最新推荐文章于 2024-01-17 15:36:37 发布
最新推荐文章于 2024-01-17 15:36:37 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: Java
我们使用的项目经常是这个样子的: 
<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"  
    destroy-method="close"   
    p:driverClassName="oracle.jdbc.driver.OracleDriver"  
    p:url="jdbc:oracle:thin:@127.0.0.1:1523:orcl"   
    p:username="czw"  
    p:password="czw" />
这里会有一个致命的问题,如果有一个具备中间件服务器机器访问权限的人,看到了这个例如applicationContext.xml的文件,并且打开该文件,智商再低下的人也会知道数据库的用户名和密码是什么。这对于对安全有一定要求的行业是必须杜绝的,这个也是在一般技术面试中会问到的一个问题。那就让我们继续往下,解答这个问题吧!

首先,我们需要将配置文件抽取到property中来: 
<bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"
  	p:location="classpath:jdbc.properties"
  	p:fileEncoding="utf-8"
  	/>
  	
<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"
	destroy-method="close" 
	p:driverClassName="${driverClassName}"
	p:url="${url}" 
	p:username="${userName}"
	p:password="${password}" />

将上面的第一个代码修改为第二个代码,第一个类是负责抓取jdbc.properties中的属性并且填充到dataSource当中来,这样,我们就可以将所有的注意力都集中在jdbc.properties上了。
下面的问题是,如何将jdbc.properties变成一个看不明白的字符呢?我们只需要扩展PropertyPlaceholderConfigurer父类PropertyResourceConfigurer的解密方法convertProperty就可以了: 
package com.cardDemo.commonUtil;

import org.springframework.beans.factory.config.PropertyPlaceholderConfigurer;

public class ConvertPwdPropertyConfigurer extends PropertyPlaceholderConfigurer{
	@Override
	protected String convertProperty(String propertyName, String propertyValue) {
		System.out.println("=================="+propertyName+":"+propertyValue);
		if("userName".equals(propertyName)){
			return "czw";
		}
		if("password".equals(propertyName)){
			return "czw";
		}
		return propertyValue;
	}
}

然后将上面完成的类替换配置文件中的PropertyPlaceholderConfigurer: 
<bean class="com.cardDemo.commonUtil.ConvertPwdPropertyConfigurer"
	p:location="classpath:jdbc.properties"
	p:fileEncoding="utf-8"
	/>
事实上,在我刚刚的Demo项目当中,里面的jdbc.properties里面的文件是如下内容的: 
driverClassName=oracle.jdbc.driver.OracleDriver
url=jdbc:oracle:thin:@127.0.0.1:1523:orcl
userName=someOneElseUnknowUserName
password=somePwdElseUnknowPassowrd
而实际上,真实的密码却是czw/czw
Asher
关注
专栏目录
SpringBoot使用jasypt对配置文件明文密码加密
chen的博客
03-23 463
SpringBoot使用jasypt对配置文件明文密码加密
配置文件(Web.Config)加密解密详细说明
liuhuan2099的专栏
09-11 8728
配置文件(Web.Config)加密解密详细说明
如何为配置文件加密
gfjndh的专栏
10-21 805
原创地址:http://www.cnblogs.com/jfzhu/p/4039216.html 转载请注明出处   在web.config或app.config文件里我们经常会存储一些敏感信息,比如connectionStrings或者appSettings,比如像下面的文件。 xml version="1.0"?> configuration>
如何加密Web项目配置文件密码
08-05 1964
转自:http://blog.csdn.net/ziwen00/article/details/10729683
天呐,你生产环境密码还在裸奔吗?
CREATE_17的博客
12-23 444
点击上方蓝色“大数据实战演练”,选择“设为星标”或“置顶”回复“资源”领取独家整理的学习资料!每一个成功人士的背后,必定曾经做出过勇敢而又孤独的决定。放弃不难,但坚持很酷~1先看一份...
数据库配置文件明文密码进行加密
nanshan36965的博客
04-17 917
变量名与配置类的“config.setPasswordEnvName("PLATFORM_KEY");否则配置类无法读取变量值。生成加密文件时会需要手动触发配置类生成的对象对数据加密解密,所以配置信息需与配置类一致。在代码添加configuration配置类,按照如下代码进行配置。该配置不仅可以对数据库明文密码进行加密,也可以对一些敏感信息进行加密。使用 “ENC(加密后的字符串)” 替换原敏感数据。配置完成后重启电脑,确保配置信息可以成功被加载。pom.xml添加加密依赖。
配置文件的数据库密码加密
huangbaokang的博客
06-14 4011
数据库密码直接写在配置,对运维安全来说,是一个很大的挑战。Druid为此提供一种数据库密码加密的手段ConfigFilter。 2.1 执行命令加密数据库密码 在命令行执行如下命令: java -cp druid-1.0.16.jar com.alibaba.druid.filter.config.ConfigTools you_password 输出 privateKey:MIIBVgIB...
C#为配置文件加密的实现方法
09-04
例如,如果我们想加密web.config文件的connectionStrings部分,可以使用如下命令: ``` aspnet_regiis.exe -pef "connectionStrings" "C:\myweb\HelloService" ``` 加密之后,部分的内容将被加密,如下示例所示...
druid对配置文件的数据库密码加密
04-07
5. **配置加密密码**:在Druid的配置文件(如`druid.properties`或`application.yml`),使用公钥对原始密码进行加密,并将加密后的密码(例如`password:fyW65KGy1XwBAYE6cQE0oZWUJ0EdOe+/u7gqypTvSgYKOAH1HQ61...
Java 如何加密配置文件的数据库账号和密码
m0_67698950的博客
03-17 3141
作为程序员每天的开发工作都离不开跟数据库打交道,而且我们的应用程序往往都会配置数据库的链接,那你有没有想过,任何一个能接触到我们项目代码的人员,都可以看到配置文件里面的账号秘密? 相信很多人的项目里面配置文件都是类似这样写的 ############### Mysql配置 ######################### spring.datasource.type=com.zaxxer.hikari.HikariDataSource spring.datasource.driver-class-n
Java修改密码实现
03-01
java jsp mysql 密码修改
SVN密码在线web修改原理及Demo
07-01
1、绝对可用,适用于目前visualSVN所有版本,网上cgi脚本有些已过时; 2、VisualSVN-Server-3.3.1企业注册版.rar(64与32位); 3、apache-httpd-2.2.19-win64.zip; 4、自己写的Demo以及修改密码的原理配置说明(demo只是远程修改svn密码,如果远程管理svn,创建项目、增减用户等,GitHub上面有个开源项目,自己可以搜索一下); 注意:本Demo为java实现,所以,使用的时候,需要在VisualSVN-Server服务器上,额外部署tomcat服务。当然,知道原理后,可以自己编写php以及cgi脚本来实现,就不用额外部署服务了,会php与cgi的人员,实现起来,也比较容易;该资源比较适合开发人员研究,网络管理员可与开发人员一起研究后,也比较容易理解。
简单的javaweb项目实现登陆注册修改删除等
07-01
实现了用户的登陆,注册,修改,删除等,详情请参考博客:https://blog.csdn.net/weixin_43912621/article/details/107043875
ASP.NET web.config 数据库连接字符串加密解密
10-22
***提供了一个用于加密和解密配置文件敏感信息的工具:aspnet_regiis.exe。它是一个命令行工具,可以用来对web.config文件的特定部分,如连接字符串进行加密和解密。使用aspnet_regiis.exe可以避免自行编写加密...
对springBoot的yml文件密码进行加密-通过jasypt(奇安信-代码扫描-密码管理:配置文件的明文密码-自用记录)
最新发布
p7477的博客
01-17 1159
4、 修改yml文件配置的密码(需要用 ENC() )防止后期找不到,忘记了,自己写了一遍存起来。2、yml文件加密钥。
Springboot配置文件的明文密码漏洞
心寒的博客
06-05 1485
Springboot配置文件的明文密码漏洞
配置文件的属性加密
wjw_de_java的博客
10-09 1176
对于一些安全性要求比较高的企业,是不允许在配置文件配置明文密码的。因为如果在配置文件采用明文存储密码,将会降低系统安全性。这个时候,jasypt框架就派上用场了。 首先什么是jasypt? 详细网址 : http://www.jasypt.org/ 简单来说,就是一个安全框架,用于对一些如数据库密码等重要信息进行加密的框架 配置文件的属性加密解决步骤: (1):引入pom包 <dependency> <groupId>com.github.ulisesbocchio&l
内网搜集各类密码文件
qq_44657899的博客
10-20 464
文章目录dirfindstr dir dir 命令搜集各类敏感密码配置⽂件,在C盘建议从 User ⽬录下开始搜集 dir /b /s user.*,pass.*,config.*,username.*,password.* findstr findstr 命令查找某个⽂件的某个字段,查找⼀个⽂件⾥有没有 user 、 pass 等字段内容 shell findstr /c:"user" /c:"pass" /si *.txt ...
WebConfig配置 文件加密处理
weixin_30536513的博客
11-09 351
webconfig 文件加密处理 前几日正好遇到配置文件加密解密的问题,简单记录下流程。 1.首先运行cmd然后打开Framework。cd C:\Windows\Microsoft.NET\Framework\v4.0.303192.加密(需要将web.config文件放到指定目录下,如C:\1):aspnet_regiis -pef "connectionStrings"...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值