spring boot 配置 jasypt 加密配置

最新推荐文章于 2024-07-27 19:41:29 发布

萧大侠jdeps

最新推荐文章于 2024-07-27 19:41:29 发布

阅读量1.3k

点赞数

文章标签： eureka java spring boot

本文链接：https://blog.csdn.net/m0_37588079/article/details/122229818

版权

本文介绍了如何使用jasypt-spring-boot-starter对Spring Boot的配置信息进行加密解密，包括在pom.xml中添加依赖、配置文件设置、启动类添加相关代码以及如何生成和配置加密字符。同时，还讨论了不同情况下（如不使用@SpringBootApplication注解）的加密解密方法，并提到了密钥的安全存放位置。

摘要由CSDN通过智能技术生成

<dependency>
                <groupId>com.github.ulisesbocchio</groupId>
                <artifactId>jasypt-spring-boot-starter</artifactId>
                <version>3.0.3</version>
 </dependency>

2.1 jasypt-spring-boot-starter

如果项目使用@SpringBootApplication或@EnableAutoConfiguration注解，在pom中加入以下依赖即可对整个Spring的环境的配置信息进行加密解密。

<dependency>
                <groupId>com.github.ulisesbocchio</groupId>
                <artifactId>jasypt-spring-boot-starter</artifactId>
                <version>3.0.3</version>
 </dependency>

2、在配置文件添加如下配置

jasypt:
  encryptor:
    bean: encryptorBean
#encryptorBean 配置

3、在启动类添加：

@SpringBootApplication
@EnableAsync
@ComponentScan("com.hes.cloud.*")
public class TduckApiApplication {
    public static void main(String[] args) {
        SpringApplication.run(HesApplication.class, args);
    }

    @Bean(name = "encryptorBean")
    static public StringEncryptor stringEncryptor() {
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword("abc123456");
        config.setAlgorithm("PBEWithMD5AndDES");
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.NoIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        return encryptor;
    }

}

4、在配置文件需要配置的地方加 ENC（加密后的字符）

大功告成啦！！！

后面的内容做参考，那是官网的翻译。

附上加密类

package com.hes.cloud.api.util;

import org.jasypt.util.password.BasicPasswordEncryptor;
import org.jasypt.util.text.BasicTextEncryptor;

public class JasptUtil {

    /**
     * 双向密码加密
     * 文本加密是加密中最经常遇到的需求，如通讯消息、交易流水、账号信息等，这些都是非常敏感的信息，许多场景下都需要加密储存，然后读取展示的时候再解密。Jasypt提供的API非常方便，设置加密的密钥后，就可以加密信息了，代码如下：
     */
    private void encode(){
        BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
//设置加密密钥
        textEncryptor.setPassword("abc123456");
//加密信息
        String encryptedText = textEncryptor.encrypt("This is a secret message.");
        System.out.println("encryptedText:" + encryptedText);
//解密
        String decryptedText = textEncryptor.decrypt(encryptedText);
        System.out.println("decryptedText:" + decryptedText);

        System.out.println("email:" +  textEncryptor.encrypt("xyh@163.com"));
        System.out.println("email passwd:" +  textEncryptor.encrypt("danielxiao123"));

        System.out.println("db passwd:" +  textEncryptor.encrypt("12345678"));

    }



    /**
     * 单向密码加密
     *
     */
    private void encodeUnre(){
        BasicPasswordEncryptor encryptor = new BasicPasswordEncryptor();
//加密密码
        String encryptedPassword = encryptor.encryptPassword("MyPassword");
        System.out.println("encrypted:"+encryptedPassword);
//检查密码：正确
        System.out.println(encryptor.checkPassword("MyPassword", encryptedPassword));
//检查密码：错误
        System.out.println(encryptor.checkPassword("myPassword", encryptedPassword));
    }

    public static void main(String[] args) {
        JasptUtil util=new JasptUtil();
        util.encode();
        System.out.println("==============================");
        util.encodeUnre();
    }
}

=======================完=======================================

2.2 jasypt-spring-boot

如果项目不使用@SpringBootApplication或@EnableAutoConfiguration注解，我们就使用下面的依赖，然后在配置Java类中加上注解@EnableEncryptableProperties。

<dependency>
  <groupId>com.github.ulisesbocchio</groupId>
  <artifactId>jasypt-spring-boot</artifactId>
  <version>2.1.1</version>
</dependency>

配置类如下：

@Configuration
@EnableEncryptableProperties
public class MyApplication {
 
}

2.3 只对特定配置加密解密

如果不想使用以上两种方式对所有配置信息都进行加密解密的话，可以使用注解@EncryptablePropertySource指定配置文件，依赖如下：

<dependency>
  <groupId>com.github.ulisesbocchio</groupId>
  <artifactId>jasypt-spring-boot</artifactId>
  <version>2.1.1</version>
</dependency>

配置类如下：

@Configuration
@EncryptablePropertySource(name = "EncryptedProperties", value = "classpath:encrypted.properties")
public class MyApplication {
	
}

3 生成加密字符

生成加密字符有多种方式，在实践中使用过以下几种方式。

3.1 Java命令行

Jasypt提供了一个类专门用于加密解密，提供了main方法，调用如下：

java -cp ./jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI password=pkslow algorithm=PBEWithMD5AndTripleDES input=larry

输出为：

----ENVIRONMENT-----------------
Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.212-b10 

----ARGUMENTS-------------------
input: larry
algorithm: PBEWithMD5AndTripleDES
password: pkslow

----OUTPUT----------------------
SUfiOs8MvmAUjg+oWl/6dQ==

3.2 脚本命令

Jasypt为我们提供了脚本，可以直接用于加密解密，从http://www.jasypt.org/download.html可以下载。下载解压后的文件有：

# 解压后文件
LICENSE.txt NOTICE.txt  README.txt  apidocs     bin         lib
# bin文件夹的文件
decrypt.bat    decrypt.sh
digest.bat    digest.sh
encrypt.bat    encrypt.sh
listAlgorithms.bat listAlgorithms.sh

在bin目录下面，我们可以根据自己的系统选择使用什么脚本来生成密文，使用参数与Java命令一样。其实这些脚本就是封装了一个调用Java类的工具。使用如下：

$ sh encrypt.sh password=pkslow algorithm=PBEWithMD5AndTripleDES input=larry

----ENVIRONMENT-----------------
Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.212-b10 

----ARGUMENTS-------------------
input: larry
algorithm: PBEWithMD5AndTripleDES
password: pkslow

----OUTPUT----------------------
xRvdeEnk7zgKtX5uVGCIug==

3.3 Java代码

参见

4 配置密文与其它项

4.1 配置密文

生成密文后，就要把密文配置在相应的位置，如下：

username: ENC(SUfiOs8MvmAUjg+oWl/6dQ==)

jasypt:
  encryptor:
    password: pkslow
    algorithm: PBEWithMD5AndTripleDES

配置密文的默认格式：ENC(密文)，这个格式可以通过jasypt.encryptor.property.prefix和jasypt.encryptor.property.suffix配置，这里不再演示。

4.2 其它配置项

配置信息只有 jasypt.encryptor.password 是必须的，配置项有：

配置项	必须	Default Value
jasypt.encryptor.password	True	-
jasypt.encryptor.algorithm	False	PBEWITHHMACSHA512ANDAES_256
jasypt.encryptor.keyObtentionIterations	False	1000
jasypt.encryptor.poolSize	False	1
jasypt.encryptor.providerName	False	SunJCE
jasypt.encryptor.providerClassName	False	null
jasypt.encryptor.saltGeneratorClassname	False	org.jasypt.salt.RandomSaltGenerator
jasypt.encryptor.ivGeneratorClassname	False	org.jasypt.iv.RandomIvGenerator
jasypt.encryptor.stringOutputType	False	base64
jasypt.encryptor.proxyPropertySources	False	false

5 如何安放你的密钥

密钥是非常重要的信息，放在什么地方，决定着你的密文是否真的安全。可以有以下几类方式：

（1）放在application.properties

这样能获得配置文件的人就能知道密钥，不够安全。但它是一种方便简单的方式。存在密文和密钥放在同一个配置文件的风险。

（2）JVM参数

在启动Java程序时加参数：-Djasypt.encryptor.password=pkslow，这样就不会把密钥放在代码中去了。

（3）服务器的环境变量

把密钥放在linux系统的环境变量中去，只有能拿到服务器访问权限的人，才有可能知道密钥在哪。例如：

# 配置profile文件
export JASYPT_PASSWORD = pkslow

# 生效 
source /etc/profile

# 运行java程序时
java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar

（4）使用自定义的Encryptor来存放

以上我们都使用了官方提供的Encryptor，其实我们是可以自定义的，如下：

@Bean("jasyptStringEncryptor")
public StringEncryptor stringEncryptor() {
  PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
  SimpleStringPBEConfig config = new SimpleStringPBEConfig();
  config.setPassword("password");
  config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256");
  config.setKeyObtentionIterations("1000");
  config.setPoolSize("1");
  config.setProviderName("SunJCE");
  config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
  config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
  config.setStringOutputType("base64");
  encryptor.setConfig(config);
  return encryptor;
}

把密钥写在代码里，只有能获得jar包并反编译的人，才能获得密文。

如果我们把密钥的一部分写在代码里，另一部分通过外部方式来配置，这样就会更加安全。