Springboot实现ENC加密

已于 2022-11-21 15:17:10 修改
阅读量9.6k 收藏 53
点赞数 6
分类专栏: Spring Boot 文章标签: spring boot 数据库 java
于 2022-11-18 10:05:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54355172/article/details/127915056
版权

目录

1. 为什么要用ENC加密

以下是未经过加密的数据库配置,密码均是采用明文密码,很容易导致数据库泄露。

spring:
 datasource:
  dynamic:
	postgresql:
	 url: jdbc:postgresql://127.0.0.1:5589/mypg?useUnicode=true&characterEncoding=utf-8&useSSL=true&serverTimezone=Asia/Shanghai
	 username: root
	 password: admin          
	 driver-class-name: org.postgresql.Driver 

...

redis:
 ip: www.xxxx.top
 port: 6379
 # 密码
 pass: admin	
 # 最大实例
 max-total: 1024
 # 最大空闲实例
 max-idle: 100
 # 等待可用连接的最大时间,单位毫秒,默认值为-1,表示永不超时。
 max-wait: 10000
 # 超时时间,单位毫秒。
 timeout: 10000

以下是经过ENC加密之后的配置,这样之后,数据库密码安全级别就高了。

spring:
 datasource:
  dynamic:
	postgresql:
	 url: jdbc:postgresql://127.0.0.1:5589/mypg?useUnicode=true&characterEncoding=utf-8&useSSL=true&serverTimezone=Asia/Shanghai
	 username: root
	 password: ENC(2qWZr4WLw8H0nPBzMXBV9WimRfKC3pv5UVGB5mMApbINg2s83VfsYvL7XTWaUR8q)
	 driver-class-name: org.postgresql.Driver 

...

redis:
 ip: www.xxxx.top
 port: 6379
 # 密码
 pass: ENC(2qWZr4WLw8H0nPBzMXBV9WimRfKC3pv5UVGB5mMApbINg2s83VfsYvL7XTWaUR8q)	
 # 最大实例
 max-total: 1024
 # 最大空闲实例
 max-idle: 100
 # 等待可用连接的最大时间,单位毫秒,默认值为-1,表示永不超时。
 max-wait: 10000
 # 超时时间,单位毫秒。
 timeout: 10000

2. jasypt实现ENC加密

1. 实现流程

  • 导入依赖:

            <!-- 配置文件加密 -->
        <dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>3.0.2</version>
        </dependency>

  • 测试类:

    import org.jasypt.encryption.StringEncryptor;
import org.junit.Test;
import org.junit.runner.RunWith;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.test.context.junit4.SpringRunner;

import javax.annotation.Resource;

/**
 * @Author: chenJY
 * @Description:
 * @Date: 2022-11-18 9:19
 */
@SpringBootTest
@RunWith(SpringRunner.class)
public class EncryptorTest {
    @Resource
    private StringEncryptor jasyptStringEncryptor;

    @Test
    public void encode() {
        System.out.println( "加密密文:" + jasyptStringEncryptor.encrypt("admin") );
        System.out.println("解密密文:" + jasyptStringEncryptor.decrypt(jasyptStringEncryptor.encrypt("admin")));
    }
}

  • 运行测试类:

注意: 每次运行测试类输出的加密密码都不同,但不影响其解密密文。

  • 将加密密文加入到配置文件中:
    spring:
 datasource:
  dynamic:
	postgresql:
	 url: jdbc:postgresql://127.0.0.1:5589/mypg?useUnicode=true&characterEncoding=utf-8&useSSL=true&serverTimezone=Asia/Shanghai
	 username: root
	 password: ENC(2qWZr4WLw8H0nPBzMXBV9WimRfKC3pv5UVGB5mMApbINg2s83VfsYvL7XTWaUR8q)
	 driver-class-name: org.postgresql.Driver 

...

redis:
 ip: www.xxxx.top
 port: 6379
 # 密码
 pass: ENC(2qWZr4WLw8H0nPBzMXBV9WimRfKC3pv5UVGB5mMApbINg2s83VfsYvL7XTWaUR8q)
 # 最大实例
 max-total: 1024
 # 最大空闲实例
 max-idle: 100
 # 等待可用连接的最大时间,单位毫秒,默认值为-1,表示永不超时。
 max-wait: 10000
 # 超时时间,单位毫秒。
 timeout: 10000
  • 重启springboot项目,能正常启动

2. 说明

由于springboot自动配置的特性,导入 jasypt-spring-boot 依赖包之后,不用进行过多配置,就能实现配置文件加密字段自动解密,所以特别方便。

1. 自定义加密秘钥

1. 盐、前缀、后缀

可以在配置文件中自定义一个加密秘钥(盐), 来获取明文密码。

# 加密秘钥
jasypt:
  encryptor:
    password: Chen # 加密时的salt值

自定义加密前缀、后缀: 如果不想使用 ENC来作为加密前缀,那么可以通过配置文件修改:

# 加密秘钥
jasypt:
  encryptor:
    password: Chen
    property:
      prefix: Chen( # 前缀
      suffix: )chen # 后缀

那么,密码的格式如下:

password: Chen(2qWZr4WLw8H0nPBzMXBV9WimRfKC3pv5UVGB5mMApbINg2s83VfsYvL7XTWaUR8q)chen
2. 自定义加密方案

配置类

@Configuration
public class MyEncryptorCfg {
    /**
     * @Description 自定义的加密器配置
     * @author chenJY
     * @date 2022/11/18 9:52
     * @return StringEncryptor
    */
    @Bean(name = "myStringEncryptor")
    public StringEncryptor myStringEncryptor() {

        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();

        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword("Chen");
        config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256");
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);

        return encryptor;
    }
}

  • 注意1: bean必须重命名,bean默认名是 jasyptStringEncryptor,当我们要自定义加密方案的时候,就必须重命名。

  • 注意2: 需要在配置文件中加入如下配置:

    jasypt:
  encryptor:
    bean: myStringEncryptor

    并修改测试类:

        @Autowired
    private StringEncryptor myStringEncryptor;

2. 部署方案

密钥(盐值)存储说明: 本身加解密过程都是通过盐值进行处理的,所以正常情况下盐值和加密串是分开存储的。盐值应该放在系统属性、命令行或是环境变量来使用,而不是放在配置文件。

  • 程序启动 命令行参数:

    java -jar xxx.jar --jasypt.encryptor.password=Chen &

  • 程序启动 环境变量:

    java -jar -Djasypt.encryptor.password=Chen xxx.jar

3. 输出密文的几种方案

优化1.: 上面的写法是直接写死了需要加密的密码,我们可以换一种在配置文件中读取数据库密码的写法,如下:

	import org.jasypt.encryption.StringEncryptor;
	import org.junit.Test;
	import org.junit.runner.RunWith;
	import org.springframework.boot.test.context.SpringBootTest;
	import org.springframework.test.context.junit4.SpringRunner;
	
	import javax.annotation.Resource;
	
	/**
	 * @Author: chenJY
	 * @Description:
	 * @Date: 2022-11-18 9:19
	 */
	@SpringBootTest
	@RunWith(SpringRunner.class)
	public class EncryptorTest {
		@Resource
    	private ApplicationContext applicationContext;

	    @Resource
	    private StringEncryptor jasyptStringEncryptor;
	
	    @Test
	    public void encode() {
	        Environment environment = applicationContext.getEnvironment();
        	String password = environment.getProperty("spring.datasource.dynamic.postgresql.password");
	        System.out.println( "加密密文:" + jasyptStringEncryptor.encrypt(password) );
	        System.out.println("解密密文:" + jasyptStringEncryptor.decrypt(jasyptStringEncryptor.encrypt(password)));
	    }
	}

优化2: 重写启动类的run(),实现每次启动项目都会输出一次加密密文

import org.jasypt.encryption.StringEncryptor;
import org.springframework.boot.CommandLineRunner;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.ApplicationContext;
import org.springframework.core.env.Environment;

@SpringBootApplication
public class TestDemoApplication implements CommandLineRunner{

    @Resource
    private ApplicationContext applicationContext;

    @Resource
    private StringEncryptor jasyptStringEncryptor;

    public static void main(String[] args) {
        SpringApplication.run(TestDemoApplication.class, args);
    }

    @Override
    public void run(String... args) throws Exception {
        Environment environment = applicationContext.getEnvironment();
        String pwd = environment.getProperty("spring.datasource.dynamic.postgresql.password");
        // 打印解密后的结果
        System.out.println( "加密密文:" + jasyptStringEncryptor.encrypt(pwd) );
    }
}
364.99°
关注
  • 6
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
spring boot 参数 ENC()加密
u010843275的博客
06-08 2496
java 加密 D:\soft\Java\jdk1.8.0_91\jre\lib\security 目录下添加加密加密包JCE[local_policy.jar/US_export_policy.jar] 启动项目添加环境属性密钥【–jasypt.encryptor.password=f48e95d185cf31ed】 引入pom com.github.ulisesbocchio jasypt-spring-boot-starter 3.0.3...
Springboot配置文件内容加密代码实例
08-25
主要介绍了Springboot配置文件内容加密代码实例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
springboot整合ENC加密解密
最新发布
qq_42800468的博客
06-06 487
(上面的config.setPassword())的安全至关重要,不要将其暴露在不安全的环境中。假如上面控制台输出的结果是:encryptedRedisPwd。以redis为例,连数据库、连mq操作也一样。步骤 3: 在Redis配置中使用加密密码。步骤 4: 启动Spring Boot应用。步骤 1: 添加Jasypt依赖。步骤 2: 加密Redis密码。
jasypt中的加密和解密
mengqingming1的博客
05-14 3776
在我们的服务中不可避免的需要使用到一些秘钥(数据库、mongodb等),生产如果采用明文配置讲会有安全问题,jasypt是一个通用的加解密库,使用它可以保证我们的安全性。 使用 1. 首先在pom.xml中引入相关依赖 <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starte.
(五)配置文件的属性加密
weixin_33971977的博客
09-21 486
在micro service体系中,有了config server,我们可以把配置存放在git、svn、数据库等,普通的web项目也基本上是把配置存放在配置文件中。如果我们把大量的配置信息都放在配置文件中是会有安全隐患的,那么如何消除这个隐患呢?最直接的方式就是把配置信息中的一些敏感信息(比如数据库密码、中间件密码)加密,然后程序在获取这些配置的时候解密,就可以达到目的。这个时候,jasypt框架...
SpringBoot 实现数据加密脱敏(注解 + 反射 + AOP)
m0_71777195的博客
08-03 1432
场景:响应政府要求,商业软件应保证用户基本信息不被泄露,不能直接展示用户手机号,身份证,地址等敏感信息。根据上面场景描述,我们可以分析出两个点。
ENC数据解密
wbin6510的专栏
11-27 1万+
ENC数据解密 1. ENC的定义 ENC字面含义是电子航海图(Electronic Navigational Charts),特指由国家海道测量机构或国家海道测量机构授权的公司或机构按国际海道测量组织(International Hydrographic Organization,IHO)颁布的《数字式海道测量数据传输标准》(Transfer Standard for Digital Hydrographic Data,编号S-57)制作的矢量电子航海图。 并不是所有的电子航海图都可以称为ENC。 一般
Springboot项目对数据库用户名密码实现加密过程解析
08-19
Springboot项目对数据库用户名密码实现加密过程解析 Springboot项目对数据库用户名密码实现加密过程是一个非常重要的安全机制,它可以保护数据库的用户名和密码不被泄露或非法访问。在本文中,我们将详细介绍如何在...
SpringBoot(27) 整合jasypt加密yml配置文件
08-17
SpringBoot(27) 整合jasypt加密yml配置文件
springboot之yml配置文件信息加密.docx
03-01
知识点 3: Jasypt 加密实现 在项目中引入 Jasypt 的 jar 包 org.jasypt:iasypt:1.9.2,使用 StringEncryptor 接口中的 encrypt 方法对敏感信息进行加密加密时设置好密钥(password),然后调用 encrypt 方法通过...
SpringBoot项目application.yml文件数据库配置密码加密的方法
08-19
本篇文章主要探讨如何在Spring Boot项目中对`application.yml`文件中的数据库配置密码进行加密,以防止数据泄露。 首先,我们需要了解Spring Boot允许在`application.yml`或`application.properties`文件中配置...
如何优雅的实现 Spring Boot 接口参数加密解密?
江南一点雨的专栏
03-09 5487
因为有小伙伴刚好问到这个问题,松哥就抽空撸一篇文章和大家聊聊这个话题。 加密解密本身并不是难事,问题是在何时去处理?定义一个过滤器,将请求和响应分别拦截下来进行处理也是一个办法,这种方式虽然粗暴,但是灵活,因为可以拿到一手的请求参数和响应数据。不过 SpringMVC 中给我们提供了 ResponseBodyAdvice 和 RequestBodyAdvice,利用这两个工具可以对请求和响应进行预处理,非常方便。 所以今天这篇文章有两个目的: 分享参数/响应加解密的思路。 分享 ResponseBodyA
SpringBoot使用jasypt加解密密码
也曾北风温柔以待
05-29 595
Jasypt懒得简介了,有兴趣直接看官网,直接传送官网 引入依赖
springboot中mysql配置文件_SpringBoot项目mysql配置文件密码加密(jasypt)
weixin_26732855的博客
01-19 428
起因:因为我个人微博想要公开源码,但数据库配置文件会暴露在外面,又不想生产跟开发环境建来回切换,所以想到了加密数据库密码,于是问了群里的一个朋友小XX(原谅我不识字)经过:简单粗暴,直接上代码:1.需要引入依赖com.github.ulisesbocchiojasypt-spring-boot-starter2.0.02.然后再yml或者properties中加入:jasypt.encryptor...
spring boot使用jasypt加密原理解析
热门推荐
u013905744的专栏
01-16 3万+
首先介绍一下jasypt的使用方法 可以参考下面这篇文章: Get史上最优雅的加密方式!没有之一! 版本对应的坑 使用的时候还是遇到一个坑,就是jasypt的版本与spring boot版本存在对应情况。可以看到jasypt是区分java7和java8的,也存在依赖spring版本的情况。 自己尝试了一下 在使用jasypt-spring-boot-starter的前提下 j...
Springboot AOP实现指定敏感字段数据加密 (数据加密篇 二)
默默不代表沉默
11-17 9788
前言 最近项目组开始关注一些敏感数据的明文相关的事宜 , 其实这些东西也是都有非常成熟的解决方案。 既然最近着手去解决这些事情,那么也顺便给还未了解的大伙普及一下。 这个系列就暂短的分成两篇 : 第一篇 yml配置文件里敏感数据的加密 第二篇 传入数据敏感数据的加密存储 本篇是第二篇 正文 先看看效果 : 数据存入数据库表内, 手机号phone和邮箱email 属于敏感数据,我们需要密文存储 : 但是我们想动态一点, 那些插入接口 需...
使用jasypt对springboot的datasource密码加密
u013030980的专栏
01-18 1万+
maven依赖 dependency> groupId>com.github.ulisesbocchiogroupId> artifactId>jasypt-spring-boot-starterartifactId> version>1.8version> dependency> 配置加密参数 可以理解为加密的salt jasypt: encryptor
springboot配置文件加密过程
两千万程序员的梦yym
10-26 1145
用于application.properties数据库密码加密或者其他配置文件内容加密   1.导入jar包 &lt;!--jdbc加密--&gt; &lt;dependency&gt; &lt;groupId&gt;com.github.ulisesbocchio&lt;/groupId&gt; &lt;artifactId&gt;jasypt-spring-boot-sta...
使用ENCKEYS方法加密数据
06-20 1210
要使用这种数据加密方法,您需要配置Oracle GoldenGate以生成加密密钥并将密钥存储在本地ENCKEYS文件中。此方法使用的永久密钥只能通过根据使用加密密钥填充ENCKEYS文件中的说明重新生成算法来更改。 ENCKEYS文件必须通过在操作系统中分配文件权限的常规方法进行保护。 此过程生成AES加密密钥并提供将其存储在ENCKEYS文件中的说明。 使用ENCKEYS方法...
springboot jasypt3 加密数据库密码
10-21
Spring Boot是一个开源的Java框架,可帮助开发者更快速地构建应用程序。Jasypt3是Spring Boot中一种常用的加密库,可用于加密敏感数据,如数据库密码。下面简要介绍如何使用Spring Boot和Jasypt3来加密数据库密码: 1. 添加依赖:在pom.xml中添加Jasypt3的依赖,如下所示: ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.3</version> </dependency> ``` 2. 配置加密算法和密钥: 在Spring Boot的配置文件(application.properties或application.yml)中添加以下配置: ```properties jasypt.encryptor.algorithm=算法 jasypt.encryptor.password=密钥 ``` 3. 加密数据库密码: 在配置文件中使用Jasypt3提供的加密语法将数据库密码进行加密。例如,假设我们要加密的密码是"password",可以使用以下语法: ```properties encryptor.encrypt(密码) ``` 4. 使用加密的密码: 在项目中的数据源配置文件(如application.properties)中,使用加密后的密码。例如: ```properties spring.datasource.username=用户名 spring.datasource.password=ENC(加密的密码) ``` 5. 运行应用程序: 启动Spring Boot应用程序,它将自动使用配置的密钥解密密码,然后使用解密后的密码连接数据库。 通过以上步骤,我们可以使用Spring Boot和Jasypt3来实现数据库密码的加密。这样可以保护敏感数据的安全性,同时提供了一种方便的方法来管理加密密钥和加密算法。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

364.99°

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值