SpringBoot通过jasypt对配置文件加密

最新推荐文章于 2024-04-16 09:26:21 发布
最新推荐文章于 2024-04-16 09:26:21 发布
阅读量979 收藏
点赞数
文章标签: 中间件 java python spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lishuzhen5678/article/details/122558558
版权

Spring项目中,在默认情况下配置文件的内容都是明文的,但是对于敏感的信息,如中间件的密钥,DB、Redis密码等,直接使用明文存在安全隐患。在对配置文件中敏感信息加密时,常用到的Jasypt工具。

SpringBoot常用配置文件加密工具比较

alibaba.druid

通过alibaba.druid工具加密,但只能用于DB链接相关参数加密,无法实现对其他敏感信息加密

Jasypt

Jasypt工具包加密,可以对任何配置项加密。推荐使用此方法。

在SpringBoot中使用Jasypt

引入maven坐标依赖

需要注意的是jasypt版本和springBoot版本之间的对应关系,如果版本不匹配可能会出现各种其他的问题。

SpringBoot2.1.x 对应使用 jasypt2.10

SpringBoot1.5.x 对应使用 jasypt1.5

博主使用的SpringBoot版本是2.2.13.RELEASE, jasypt版本使用的最新版本3.0.4,实测可行。注意一下 jasypt的2.x和3.x版本在加密算法上是有很大变动的。 

<dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>3.0.4</version>
</dependency>

编写Jasypt工具类

可以通过当前工具类实现对文本的加密和解密操作。 

package com.lsz.common.utils;

import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;

/**
 * Jasypt3.x 加解密工具类
 *
 * @author lishuzhen
 * @createTime 2022年01月17日 21:05:00
 */
public class JasyptUtil {

    private static final String PBEWITHHMACSHA512ANDAES_256 = "PBEWITHHMACSHA512ANDAES_256";
    /**
     * Jasypt密钥
     */
    private static final String SECRET = "MySecret";

    public static void main(String[] args) {

        // 需加密的文本
        String waitEncryptStr = "123456";
        String encryptWithSHA512Str = encryptWithSHA512(waitEncryptStr, SECRET);
        System.out.println(String.format("加密前的文本 %s \n加密后的文本 %s", waitEncryptStr, encryptWithSHA512Str));

        // 需解密的文本
        String waitDecryptStr = "VIiyxE6v8nGD9Y+sxiuhLzsIk/TbmI2p/koN9zXG8lqzzPFzXq2qrDqraXm6kQfR";
        String decryptWithSHA512Str = decryptWithSHA512(waitDecryptStr, SECRET);
        System.out.println(String.format("解密前的文本 %s \n解密后的文本 %s", waitDecryptStr, decryptWithSHA512Str));
    }


    /**
     * Jasypt加密
     *
     * @param plainText 待加密的原文
     * @param secret    加密秘钥
     * @return java.lang.String
     * @Description: Jasypt 加密(PBEWITHHMACSHA512ANDAES_256)
     */
    public static String encryptWithSHA512(String plainText, String secret) {
        // 1. 创建加解密工具实例
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        // 2. 加解密配置
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(secret);
        config.setAlgorithm(PBEWITHHMACSHA512ANDAES_256);
        // 为减少配置文件的书写,以下都是 Jasypt 3.x 版本,配置文件默认配置
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        // 3. 加密
        return encryptor.encrypt(plainText);
    }

    /**
     * Jasypt解密
     *
     * @param encryptedText 待解密密文
     * @param secret        解密秘钥
     * @return java.lang.String
     * @Description: Jasypt 解密(PBEWITHHMACSHA512ANDAES_256)
     */
    public static String decryptWithSHA512(String encryptedText, String secret) {
        // 1. 创建加解密工具实例
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        // 2. 加解密配置
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(secret);
        config.setAlgorithm(PBEWITHHMACSHA512ANDAES_256);
        // 为减少配置文件的书写,以下都是 Jasypt 3.x 版本,配置文件默认配置
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        // 3. 解密
        return encryptor.decrypt(encryptedText);
    }

}

运行main方法

结果如下: 可以看到目前已经拿到了加密后的文本。注意相同的文本多次执行加密得到的密文是不一样的,解密的结果是一样的。

密文写入配置文件

将工具类得到的密文,加上 ENC() 特殊标记,写入的配置文件。

jasypt加密密钥处理

主要有两种方式存储密钥。

直接写入到SpringBoot的配置文件中

但是这种方式并不能安全,如果密钥暴露,加密也没有任何意义。不建议使用此方法 

jasypt:
  encryptor:
    password: MySecret

在启动命令中加入密钥

通过此方式可以保证 在代码中是找不到密钥的。线上生产环境由运维人员控制,只要保证无法攻击进入服务器,密钥就是安全的。

linux jar包启动脚本 
java -jar -Djasypt.encryptor.password=MySecret  hello.jar
idea开发环境
方法1-加入启动参数

通过此方法加入的参数和linux jar启动脚本原理一致

方法2-重写Spring配置文件

通过次方法和直接将密码写入配置文件方法原理一致,只不过一个是个代码层面实现,一个是在IDE中通过工具写入。

启动项目

启动日志中可以看到,目前用到的都是Jasypt的默认配置

Jasypt原理

JasyptSpringBootAutoConfiguration

在com\github\ulisesbocchio\jasypt-spring-boot-starter\3.0.4\jasypt-spring-boot-starter-3.0.4.jar!\META-INF\spring.factories文件中,指定boot的配置类。在获取application.yml的配置项时,通过JasyptSpringBootAutoConfiguration处理。

将PropertySource委托给Jasypt处理

重写了gerProperty方法,当需要获取配置的时候,全部都Jasypt处理。

解密

上文中提到的关键字 ENC() ,解密方法中就是通过前缀和后缀判断配置项的参数是否需要的解密的。 在项目配置时,主要避开这个关键字。

小李_同志
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
使用JasyptSpringBoot配置文件加密
zrxJuly
12-25 1420
一、Jasypt介绍   Jasypt(Java Simplified Encryption),为开发人员提供一种简单的方式来为项目增加加密功能,包括:密码Digest认证,文本和对象加密,集成hibernate、Spring Security来增强密码管理。Jasypt1.4新特性:加密属性文件、Spring Framework集成、加密Hibernate数据源配置、新的命令行工具、URL加密的...
SpringBoot项目配置文件密码加密(jasypt)
liberty12345678的专栏
03-05 1927
jasypt由于其使用的是PBEWithMD5AndDES加密方式,每次加密出来的结果都不一样,很适合对数据进行加密. 1、引入依赖 &lt;!-- 数据库加密 --&gt; &lt;dependency&gt; &lt;groupId&gt;com.github.ulisesbocchio&lt;/groupId&gt; &lt;artifactId&gt;jasy...
springBoot 相关技术版本选择
weixin_43727535的博客
07-20 3444
springBoot 官方网址:https://spring.io/projects/spring-boot#learn Spring Boot版本以数字表示。例如:Spring Boot 2.3.0.RELEASE --> 主版本.次版本.增量版本(Bug修复) 版本号介绍: Alpha:不建议使用,主要是以实现软件功能为主,通常只在软件开发者内部交流,Bug较多; Beta:该版本相对于α版已有了很大的改进,消除了严重的错误,但还是存在着一些缺陷,需要经过多次测试来进一步消除; GA:Gene
spring boot项目采用jasypt加密配置文件
胡汉三
07-13 1053
前言 近年来,安全问题越来越受到了重视。我们以前在配置文件中明文存储配置信息,这种做法是不安全的,往往很多密码、关键ip端口等配置都是配置文件泄露出去的。还有一些是自研的运维系统,里面明文存储了很多关键信息。如果被黑客攻破,黑客很容易就得到了这些关键信息。从而威胁到应用的安全,数据安全,如果你的应用具有一定的规模甚至会影响到社会安全。 所以保护好关键的配置信息、起码不要让黑客轻易的得到这些内容。有可能别人都不想犯错的。就因为犯错的按钮就放在那里、一冲动他可能就按下了。 这里采用的是简单的模式: &
SpringbootJasypt配置文件加密/解密
最新发布
Java后端技术栈
04-16 2766
前言在大多数项目中,配置文件中的 mysql 数据库密码、redis 密码等其他敏感性密码都是以明文形式存在,这种配置本身没有任何问题,但是,在某些情况下,可能会对公司造成不可挽救的损失,比如:某一天,小明因为加班过度,头脑发昏,不小心把公司项目上传到自己的 GitHub 仓库里面了,导致的后果就是,公司数据库用户名密码泄露,被某些大佬加以利用…所以,基于上面这种情况,加入配置文件中数据库用户密码等其他敏感信息都是经过加密处理过的呢???是不是可以大概率避免这种情况。Jasypt 因此应运而生。
jasypt 加解密的各个版本支持,看这一篇文章就够了
Rambo's Blog
07-25 8691
文章目录一、场景描述二、解决方案三、实践操作四、测试用例 一、场景描述   在项目开发过程中,我们往往可以看到许多项目的配置文件中可以看到各种明文密码的情况,比如:数据库密码、Redis 连接密码等等一些敏感信息就这么赤裸裸的暴露在配置文件中,如果这些配置信息被图谋不轨的人拿到,那损失和后果就不堪设想。   之前倒是看到过一个例子,一个程序员把自己公司的项目代码上传到了自己的GitHub仓库里了,结果配置文件忘了处理,导致公司数据库泄露,关键问题是,这个公司还是个酒店管理公司,因此后果可想而知了(又要拆散多
springboot jasypt2.x与jasypt3.x的使用
秃头的博客
04-14 4251
springboot jasypt2.x与jasypt3.x的使用 如果我们把大量的配置信息都放在配置文件中是会有安全隐患的,那么如何消除这个隐患呢?最直接的方式就是把配置信息中的一些敏感信息(比如数据库密码、中间件密码)加密,然后程序在获取这些配置的时候解密,就可以达到目的。这个时候,jasypt框架就派上用场了。
Jasypt加解密
C_Karen的博客
11-11 8811
Jasypt也即`Java Simplified Encryption`是`Sourceforge.net`上的一个开源项目。Jasypt 1.4的新特性包括:加密属性文件(encryptable properties files)、Spring Framework集成、加密Hibernate数据源配置、新的命令工具、URL加密的Apache wicket集成以及升级文档。
基于JasyptSpringBoot配置文件加密
08-25
主要介绍了基于JasyptSpringBoot配置文件加密,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBoot集成Jasypt实现敏感信息加密
03-18
SpringBoot集成Jasypt实现敏感信息加密,在Spring Boot中使用Jasypt加密和解密敏感数据非常简单,只需要在Spring Boot应用程序中添加Jasypt依赖项,并在应用程序配置文件中指定加密和解密密钥即可。
配置文件内容加密jasypt demo
12-14
配置文件内容加密jasypt.
SpringBoot(27) 整合jasypt加密yml配置文件
08-17
SpringBoot(27) 整合jasypt加密yml配置文件
利用Jasypt如何对Spring Boot配置文件加密
08-27
主要给大家介绍了关于利用Jasypt如何对Spring Boot配置文件加密的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Boot】整合jasypt实现配置文件敏感数据加密
绊脚石
10-30 468
一、引入依赖 <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>1.14</version> </dependency> 二、获得密文 找到本地maven仓库中jasypt-1.9.2.jar所在目录打开
Jasypt使用及工具类
qq_41980255的博客
08-26 585
Jasypt解析密文时,密文要求自己必须由工具类生成且正确的密文否则会抛出异常,
springboot-静态资源-自定义映射位置
Dragon_King的博客
01-07 538
springboot的静态资源的存放位置,查看源码可得: 位于:org.springframework.boot.autoconfigure.web.ResourceProperties private static final String[] CLASSPATH_RESOURCE_LOCATIONS = { "classpath:/META-INF/resources/", "cla...
SpringBoot项目中基于jasypt实现mysql配置文件自定义密码加密
riemann_的博客
06-15 1929
一、背景 由于我习惯把代码上传至Github上去,不论什么代码以及配置文件的信息一览无余的暴露在众人面前,想着能不能对我的mysql的密码进行加下密,即使我的数据库啥有用的信息都没有哈哈哈哈,但还是要有这个安全意思。想着以后项目中可能会遇到,故自己研究了下,记录于此,希望对你有帮助。 二、前期准备 1、pom文件引入jarb包依赖 <!-- Jasypt加密 --> <depen...
SpringBoot使用jasypt加密密码等重要信息
JustryDeng
07-13 4611
笔者日常:这几天笔者换公司了,中途休息了几天,找工作又花了几天,博客这阵子有点落下了。 jasypt简单介绍: jasypt是国外开发者(@author Daniel Fernández)写的一个对PropertySource资源进行加密保护的依赖工具。我们可以使用其来对一些敏感信息(如:配置文件中的各种账号密码)进行加密保护。 jasypt原理及加解密密钥位置方式说明: 原...
springboot项目配置文件不允许出现明文密码的解决方法(jasypt使用方法)
BHSZZY的博客
04-14 2194
出于安全考虑,java项目配置文件中不允许出现明文密码;为了解决这个问题,可以使用jasypt这个jar包,这个jar包可以对字符串进行加解密,项目中引入后,在配置文件中写加密后的密码即可,项目启动时这个jar包就会对密码进行解密,不影响项目正常使用。java类中也不允许出现明文密码,也可以利用这个jar包进行加解密。
springboot使用jasypt对mysql配置文件加密
05-17
JasyptJava Simplified Encryption)是一个Java加密库,它可以用来加密/解密文本、哈希密码等。Spring Boot提供了对Jasypt的支持,可以在应用程序中轻松使用Jasypt加密敏感信息。下面是使用Jasypt对MySQL配置文件进行加密的步骤: 1. 引入Jasypt依赖 在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>2.2.0</version> </dependency> ``` 2. 配置加密 在application.properties或者application.yml中添加以下配置: ```properties jasypt.encryptor.password=your_password ``` 其中,your_password是用来加密敏感信息的密码。 3. 加密MySQL配置信息 在application.properties或者application.yml中加入MySQL配置信息,如下: ```properties spring.datasource.url=jdbc:mysql://localhost:3306/test spring.datasource.username=root spring.datasource.password=root ``` 将密码部分使用Jasypt进行加密,如下: ```properties spring.datasource.url=jdbc:mysql://localhost:3306/test spring.datasource.username=root spring.datasource.password=ENC(加密后的密码) ``` 其中,加密后的密码可以使用Jasypt提供的加密工具进行加密。例如,我们可以使用以下命令生成加密后的密码: ``` java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password="your_password" algorithm=PBEWithMD5AndDES ``` 其中,jasypt-1.9.2.jar是Jasypt的jar包,your_password是用来加密敏感信息的密码。执行以上命令后,会输出加密后的密码。 4. 配置解密 在启动应用程序时,Spring Boot会自动解密加密的敏感信息。因此,我们不需要任何额外的配置来解密MySQL密码。只需将加密后的密码放入配置文件即可。 至此,我们已经成功地使用Jasypt对MySQL配置文件进行了加密

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值