Nacos 配置加密功能也太鸡肋了吧,还是用Jasypt 吧

最新推荐文章于 2024-04-12 02:36:40 发布
最新推荐文章于 2024-04-12 02:36:40 发布
阅读量1.4k 收藏 3
点赞数 1
分类专栏: java 文章标签: 数据库 windows 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71777195/article/details/131974942
版权
java 专栏收录该内容
3552 篇文章 108 订阅
订阅专栏

当项目中用了 Nacos 做配置中心,是不是所有的配置都放到里面呢,大部分时候为了省事和统一,系统所有的配置都直接放在里面了,有时候,会包括一些账号、密码、秘钥等信息。

这时候你们的项目是怎么处理的呢?

一种方式,不管它,反正 Nacos 有密码,如果 Nacos 都被攻破了,那也没办法。

还有一种方式,这些涉及到密码、秘钥的信息放到本地环境变量中,这种方式虽然也还算方便,但是管理起来就不是很统一了。

那有没有什么一举两得的方式呢?

Nacos2.0本身的插件功能

Nacos 本身提供了一种加密实现,是基于SPI的插件机制实现的。

要使用插件,需要Nacos版本是2.x版本,如果你正在使用1.x版本,需要进行升级。

引入插件包。

<dependency>
  <groupId>com.alibaba.nacos</groupId>
  <artifactId>nacos-aes-encryption-plugin</artifactId>
  <version>${nacos-aes-encryption-plugin.version}</version>
</dependency>

之后如果想对配置加密,需要创建名称为 cipher-[加密算法名称]-dataId这种规则的配置文件,例如cipher-aes-application-dev.yml

之后不管你在配置中写上什么内容,都会被加密。

例如:

password: 123456

那在程序中读出来的都是被加密过的,需要你调用插件提供的解密方法解密,或者自定义加解密方法。

但实话说这种方式有点粗暴了。不加密则已,一加密那就是整个配置文件啊,这好像也不太符合只有部分字段需要加密的场景。

而且你还必须得升级到2.x的版本才行,都做成插件了,还要区分版本。

而且官方文档相当敷衍了,实在不像是诚意之作啊。

我选择放弃这种方式。

我选择 Jasypt

Jasypt 其实是一个专门用于加解密的库,对于像 Nacos 配置文件、本地配置文件等配置信息的加解密就是一个顺手的事儿。

加解密就不用多说了,有很多的开源包,甚至你自己写一个工具类都是轻而易举的事儿。

如果我们使用 Spring Boot 的话,一般读取配置的时候用下面这种方式,不管是本地配置文件、环境变量或者Nacos都可以通用。

@Value("${aestest.appKey}")
private String appKey;

如果改成加密的配置后,上面的 appKey 读出来的内容可能就变成了0cxddfjjgglllsff000s这种一串看不懂的内容了。当然了,我们可以在使用这个变量的地方调用解密方法进行解密,但是这样一来,就变得很麻烦了。

开始我还打算自己写一个来着,后来发现 jasypt-spring-boot-starter正好完美的实现了,直接用它就好了。

1、首先引入jasypt专门为 Spring Boot 开发的包

<dependency>
  <groupId>com.github.ulisesbocchio</groupId>
  <artifactId>jasypt-spring-boot-starter</artifactId>
  <version>3.0.5</version>
</dependency>

2、在配置文件中进行相关配置

jasypt:
  encryptor:
    password: hello
    algorithm: PBEWithMD5AndDES

algorithm是加密算法,官方默认的加密算法是 PBEWITHHMACSHA512ANDAES_256,但是如果你用的是 JDK1.8,还用不了这个算法,JDK9以上才支持,所以可以把这个算法改成PBEWithMD5AndDES

password是加解密的时候用到的密码,这个配置是不建议放到Nacos的,可以放到环境变量中,这样一来,就只有这一个参数放到环境变量了。

3、生成加密字符串

Jasypt 默认用 Enc(内容)这样的格式来表示这是加密的配置,当然你可以通过配置来修改前缀和后缀,比如改成 JASYPT[内容]这种形式,其中内容部分是加密后的。

加密串可以这样生成。

引入加密类

@Autowired
private StringEncryptor encryptor;

生成加密内容

@GetMapping("/encrypt")
public String encrypt(String content) {
  return "ENC(" + encryptor.encrypt(content) + ")";
}

4、最后将生成的加密串保存到 Nacos 或本地配置中,例如下面这样

aestest:
  appKey: ENC(GT2vTn1+SdeFu90xH/vgw3uYTNyV5PGp)

5、直接使用@Value注解获取就行,和不加密的用法一模一样

@Value("${aestest.appKey}")
private String appKey;
原理

加密的原理没啥好说的,上面用的PBEWithMD5AndDES就是DES加密算法。

@Value注解直接拿到解密后的值,其实是实现了BeanFactoryPostProcessor接口,相当于利用 Spring Boot 的加载机制做了一个filter,在filter中查找 @Value注解,并且内容是以 Jasypt 指定的前后缀的配置项(例如ENC()),将找到的内容进行解密,再赋值解密后的值。

肥肥技术宅
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springBoot配置文件账号密码加密存储(springCloud nacos)_nacos配置文件配置账号密码
2301_82243070的博客
04-12 1033
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
nacos配置敏感数据加密(使用jasypt
最新发布
weixin_43443921的博客
05-10 370
nacos配置敏感数据加密(使用jasypt
Spring Cloud 配置中心内容加密配置方法
08-27
主要介绍了Spring Cloud 配置中心内容加密配置方法,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
微服务nacos或者yml配置内容部分加密jasypt
m0_49605579的博客
08-31 2234
【代码】微服务nacos或者yml配置内容部分加密jasypt
nacos配置加密简单实现Jaspyt
m0_46577241的博客
01-26 1719
快速Nacos上实现配置加密,可以使用Jaspyt库来简化实现。Jaspyt是一个Java库,可以用来实现简单的加密和解密操作。以下是在Nacos配置中使用Jaspyt进行加密的简单实现步骤:步骤1:添加依赖项 在项目的构建文件pom.xml中添加Jaspyt库的依赖项。如果是有公共服务模块可以直接引入公共服务总任意模块的pom文件中Maven: 步骤2:创建密钥 创建一个密钥,在应用程序中使用该密钥对配置进行加密和解密操作。设置配置配置必须在其他配置之前生效执行 bootstrap.yml 比conf
spring cloud 中使用jasypt-spring-boot-starter 配合Nacos进行配置加密
herionZhang的博客
07-08 4658
引入pom 加密配置 Nacos配置 IDEA 配置 验证
Nacos 中的配置文件如何实现加密传输
mxt51220的博客
11-21 3014
小伙伴们知道,Spring Cloud Config 很早就提供了配置文件的加解密功能,并且支持对称加密和非对称加密两种不同的模式。Nacos 作为分布式配置中心+服务注册中心的合体,在配置文件加密这块一直差点意思,不过好在,如果你使用的 Nacos 版本大于 2.0.4 这个版本,那么现在也可以通过插件的方式来实现配置文件加密了。
nacos连接mysql数据库并使用sm4加密数据库密码
qq_41747412的博客
04-06 2445
nacos数据库密码加密
Nacos登录参数password进行sha256加密
zacharyjoke博客
09-08 1524
nacos安全加固
Nacos配置中心支持加密配置项动态刷新
weixin_41599977的博客
05-31 3576
问题描述 通过jasyptNacos中的敏感配置项经行加密处理后,首次通过Nacos配置中心获取配置,可以正常解密ENC(XXXX),修改配置中心中的任意配置,触发配置刷新后,无法正常解密,配置内容变为ENC(XXXX)。 注:在实现功能的时候,查阅了很多资料,最终参考了https://www.cnblogs.com/flying607/p/12520009.html中的方法,但是在实际应用过程中,按照他的方法并未达到预期的效果,可能是版本原因....吧,未深究,所以自己debug一遍,在合适的位子进行配
springBoot配置文件账号密码加密存储(springCloud nacos)_nacos配置文件配置账号密码(1)
2301_82243070的博客
04-12 1176
但一群人才能走的更远。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
nacos-aes加密版使用
02-20
nacos-aes加密版使用
配置文件内容加密jasypt demo
12-14
配置文件内容加密jasypt.
Nacos配置中心原理分析
02-24
动态配置管理是Nacos的三大功能之一,通过动态配置服务,我们可以在所有环境中以集中和动态的方式管理所有应用程序或服务的配置信息。动态配置中心可以实现配置更新时无需重新部署应用程序和服务即可使相应的配置...
Nacos配置中心使用说明(图解).docx
01-12
Nacos配置中心使用说明(图解)
Nacos配置中心的敏感数据加密处理
一只没有脚的鸟
03-27 1090
本文介绍了两种数据库配置加密方式,邮箱配置加密及其他的配置加密方式。算是提供了一个思路,希望可以帮到大家,看到这里希望你给个大大的赞😊。
jasypt-spring-boot-starter 版本的一些坑,导致Nacos 自动刷新失败
11-09 4119
jasypt-spring-boot-starter 可以加密配置,增加安全性。 说起来,还是不错的。 今天花了大半天时间,排除Nacos 为啥自动刷新不成功。按照 nacos 官方文档 实验能正常获取修改后的值。 官方样例:https://github.com/nacos-group/nacos-examples/tree/master/nacos-spring-boot-example/nacos-spring-boot-config-example 排查过程,花了不少时间。最终在排除 j..
nacos连接数据库密码加密
Darlight的博客
10-22 9891
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 nacos数据库密码加密简介修改源码打包发布 简介 nacos作为一款优秀的注册发现中心和配置管理工具,能够实现微服务配置的热更新,同时从代码中解耦出去,更加自由的控制服务的上线和下线,使所有的操作全部可视化,独立化. 关于nacos的入门和配置官网都有非常详细的介绍 nacos官网 但是在nacos原生版本中,nacos持久化连接mysql数据库是通过配置文件读取数据库的ip、port、user及password的. 这其实是一种不安
Springboot配置nacos环境(附动态配置profile及增加jasypt 密钥)
Marclew_的博客
04-10 1449
Springboot配置nacos环境(附动态配置profile及增加jasypt 密钥)
nacos 配置中心加密
07-27
Nacos配置中心提供了配置文件加密功能,可以对配置文件中的敏感信息进行加密处理。这样可以保护敏感信息,如数据库连接方式或第三方存储系统的相关信息。在Nacos的2.1版本中,新增了配置文件加密功能,无需自己实现,可以轻松实现配置内容的AES加密。\[1\] 要使用Nacos配置中心的加密功能,可以在启动配置类bootstrap.yml中添加相关信息。可以通过自定义加解密类来实现加解密操作,也可以使用jasypt默认的StringEncryptor进行加解密。在配置文件中添加jasypt的相关配置,包括加解密类的bean和盐值。\[2\] 配置文件会存储在Nacos的config_info表中,配置内容存储在content字段中。如果配置加密,content字段中存储的是密文,但在Nacos客户端展示配置时会以明文形式显示。这样可以保证配置的安全性,同时方便查看配置内容。\[3\] #### 引用[.reference_title] - *1* *3* [【Nacos配置中心】对配置文件内容进行加密](https://blog.csdn.net/weixin_43888891/article/details/126783468)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [nacos配置文件中敏感信息加密](https://blog.csdn.net/goldenminers/article/details/120488006)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值