拒绝裸奔,使用jasypt为SpringBoot配置文件进行加密。

已于 2023-08-08 16:19:22 修改
阅读量1.9k 收藏 9
点赞数 2
文章标签: spring boot 后端 java 系统安全
于 2023-07-03 19:49:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mdzz14/article/details/131520815
版权

平日使用Github上传代码时,不可避免的会遇到一个问题就是配置文件中的敏感信息的处理,如MySQL的用户名密码,Redis的密码等。而如果一不注意提交到Github后,无异于出门不锁还留把钥匙,后果不堪设想, 近些年开源仓库泄露密码事件屡见不鲜,一旦事故发生,面临的不仅是经济损失,更有牢狱之灾,因此作为开发者基本的安全意识还是需要具备。但每次提交代码又需要手动替换内容,属实麻烦了许多,因此有没有一种方式可以对配置信息进行加密,即使误提交后也不用担心呢?当然是有的,我们可以使用开源项目jasypt为我们的代码保驾护航。

由于网上对于加密配置这一块的文章很多,本文不会特别深入去写配置相关,而是会将如何在配置后进行调试,可按需食用。

目录

环境配置

引入依赖

pom.xml

application.yml

生成密码

配置文件

application-prod.yml

application.yml

使用

调试

环境配置

  • SpringBoot 2.7.12
  • jasypt 3.0.5

引入依赖

pom.xml

首先在项目中引入jasypt的jar包,这里使用了最新版3.0.5。

        <!--   jasypt加密工具 -->
        <dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>

application.yml

接着在application.yml配置对应属性,注意:此处若不配置属性,将使用默认值,如algorithm默认值为PBEWITHHMACSHA512ANDAES_256而property中的默认前后缀为ENC(  需要可自行配置。

# jasypt 配置相关
jasypt:
  encryptor:
    # 指定加密算法
    algorithm: PBEWithMD5AndDES
    iv-generator-classname: org.jasypt.iv.NoIvGenerator
    # 配置加密参数的前缀和后缀
    property:
      prefix: ENC(
      suffix: )

生成密码

新建单元测试类EncryptConfig用于加密信息的生成,在getEncryptConfigInfo方法中指定密钥,这里仅以123456为例,可根据需求自行调整,使用encryptor对象的encrypt方法对MySQL的相关配置文件加密。(其它诸如Redis等使用方法相同)

@SpringBootTest
public class EncryptConfig {
    
    @Autowired
    private StringEncryptor encryptor;

    @Test
    void getEncryptConfigInfo(){
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        // 需要加密的密钥,可自行配置复杂密码
        config.setPassword("123456");
        config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256");
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        // mysql数据库
        String url = encryptor.encrypt("jdbc:mysql://192.168.10.20:3306/practice?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&useSSL=false&serverTimezone=GMT%2B8");
        String name = encryptor.encrypt("root");
        String password = encryptor.encrypt("root");
        System.out.println("database url: " + url);
        System.out.println("database name: " + name);
        System.out.println("database password: " + password);
    }

}

执行该测试方法后可以得到加密后的信息如下。

database url: 3bTRSMGvH8sPx1vsjtfuyZp/NYfCX+WVb4kpH2TnfABIPdTBhuklufbhPFjdGc5A4M5wf+0Mx8xfUsgxG6A0evfuSGYoFJhcNOlyCYUtdg1Ar6g2JYd1iKw7B0x2L29WGZkqGpjxIiWBpiPY83d4MQjlJxyvqvb5rJzcCv/Qy1zue4gZaLWIcw7e+FqAP1s2cysgQOyBqs8TK6vefPWt1zzsHnoG7nOJqt2u43pNgVc=
database name: czNCsBjcBYbtqj8pXF+xduuHjT2LLkfD/4IsKJwaAUnnLgJeNmvtu1aK6CA32OC8
database password: bdGU4GB0E8VAs6H3S9MjFKN9i3yxkIIIuIoU0pBEh7M2VxT2aAorFQmOjy/fyWjG

配置文件

将以上生成的加密字符串,使用ENC()包裹,替换原配置文件中的对应属性,此处假设配置文件为application-prod.yml

application-prod.yml

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver      # mysql/MariaDB 的数据库驱动类名称
    # 使用ENC包裹生成的密码,如果有指定前后缀,请自行修改
    url: ENC(3bTRSMGvH8sPx1vsjtfuyZp/NYfCX+WVb4kpH2TnfABIPdTBhuklufbhPFjdGc5A4M5wf+0Mx8xfUsgxG6A0evfuSGYoFJhcNOlyCYUtdg1Ar6g2JYd1iKw7B0x2L29WGZkqGpjxIiWBpiPY83d4MQjlJxyvqvb5rJzcCv/Qy1zue4gZaLWIcw7e+FqAP1s2cysgQOyBqs8TK6vefPWt1zzsHnoG7nOJqt2u43pNgVc=)
    username: ENC(czNCsBjcBYbtqj8pXF+xduuHjT2LLkfD/4IsKJwaAUnnLgJeNmvtu1aK6CA32OC8)
    password: ENC(bdGU4GB0E8VAs6H3S9MjFKN9i3yxkIIIuIoU0pBEh7M2VxT2aAorFQmOjy/fyWjG)

由于我们修改的配置文件为application-prod.yml,因此需要在application.yml指定当前加载的配置文件,指定active属性为prod

application.yml

spring:
  profiles:
    active: prod       # 指定当前加载的配置文件环境

使用

由于我们修改了配置文件,如果此时直接启动SpringBoot项目会报错,我们还需要一些小小的配置。在前面的部分制定了密钥为123456,该如何使用呢?可以将该配置信息写入application.yml的jasypt属性中,但这样相当于锁门又把钥匙插门上,比开头好点,但又好不了太多。

我们可以通过配置JVM启动参数的方式来配置密钥,如此密钥仅仅会存在本地,并不会随代码上传而泄露。(当然如果是自己主动泄露那这个方法也将无效了哈。) 

以IDEA2021为例,单击如图所示项目主启动类的下拉框,点击Edit Configurations选项

进入项目启动配置管理页面,在VM options框中填写如下代码,123456是我们设置的密钥

-Djasypt.encryptor.password=123456

 如果没有看到该选项,请点击上方的Modify Options,勾选Add VM options即可。 

填写完成后依次点击ApplyOK按钮后,再次启动项目即可正常加载。

调试

在完成配置文件中敏感信息的加密后,如果在指定了加密参数文件的环境下执行单元测试时(如application-prod.yml)会出现Reason: java.lang.IllegalStateException: either 'jasypt.encryptor.password'的错误,而切换了未加密参数的配置文件又会恢复正常,但我们需要使用加密参数的配置文件就不行了,因此对于单元测试我们也需要做JVM参数配置。

如同上一步中我们需要点击Edit Configurations选项,进入项目启动类配置的管理页面,为保证后续执行正常,选择当前已经存在的单元测试方法,点击左上角的➖将其移除,之后点击左下角的Edit configuration templates选项(也可以为每个测试方法手动配置,不过太麻烦了),该选项将为每个单元测试配置模板。

找到我们的JUnit,在如图所示的红框中填入如下参数,注意此处已经有参数,请打一个空格后填入。

-Djasypt.encryptor.password=123456

填写完成后依次点击ApplyOK按钮后,再次执行单元测试即可正常运行。

无需担心修改配置影响其它环境的配置文件执行,没有加密信息存在时,jayspt将不会执行。

往事如烟隔多年
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot使用Jasypt配置文件加密、数据库密码加密_jasyptspringboot配置文件加密使用
m0_60567796的博客
04-18 416
Springboot应用程序中,如果使用了@SpringBootApplication 或者@EnableAutoConfiguration注解,则可以在pom文件中添加jasypt-spring-boot-starter依赖,然后就可以在整个Spring环境中使用jasypt对属性进行加解密操作(属性包括:系统属性、环境属性、命令行参数、application.properties、application-*.properties、yml属性以及任何其他属性源)。
Springboot配置文件内容加密代码实例
08-25
Springboot配置文件内容加密代码实例 Springboot配置文件内容加密代码实例是指在...Springboot配置文件内容加密代码实例可以使用jasypt-spring-boot-starter对配置文件中的敏感信息进行加密,以保护项目的安全。
jasypt.encryptor.password配置文件密码加密在idea中的配置
热门推荐
qq_16613311的博客
03-09 1万+
jasypt.encryptor.password=ddddd JASYPT_ENCRYPTOR_PASSWORD=ddddd jasypt.encryptor.password= ${JASYPT_ENCRYPTOR_PASSWORD:}
Spring Boot微服务使用jasypt-spring-boot加密和解密yml配置文件
zhangbeizhen18的博客
04-27 4356
记录:424 场景:在Spring Boot微服务,使用jasypt-spring-boot加密和解密yml配置文件中的配置信息。
[springboot]使用jasypt加密_springboot项目application
最新发布
2401_84969775的博客
05-13 247
org.springframework.boot.env.EnvironmentPostProcessor=你的实际路径.config.LocalSettingsEnvironmentPostProcessor。@SpringBootTest(classes = RuoYiApplication.class) //指向自己的启动类。# 指定加密方式 可以去官网查看支持的类型。username: ENC(你的秘钥)password: ENC(你的秘钥)# 标识为加密属性的前缀。# 标识为加密属性的后缀。
SpringbootJasypt配置文件加密/解密
Java后端技术栈
04-16 3009
前言在大多数项目中,配置文件中的 mysql 数据库密码、redis 密码等其他敏感性密码都是以明文形式存在,这种配置本身没有任何问题,但是,在某些情况下,可能会对公司造成不可挽救的损失,比如:某一天,小明因为加班过度,头脑发昏,不小心把公司项目上传到自己的 GitHub 仓库里面了,导致的后果就是,公司数据库用户名密码泄露,被某些大佬加以利用…所以,基于上面这种情况,加入配置文件中数据库用户密码等其他敏感信息都是经过加密处理过的呢???是不是可以大概率避免这种情况。Jasypt 因此应运而生。
Jasypt 配置文件加密的用法
知识极客
03-18 1688
Jasypt 是一个用于配置文件加密Java 库。它可以用来加密和解密配置文件中的敏感信息,如数据库密码、API 密钥等。使用 Jasypt 加密配置文件的步骤如下:引入 Jasypt 依赖 首先,在你的项目的构建文件中添加 Jasypt 依赖。创建加密密钥 Jasypt 需要一个密钥来对配置文件进行加密和解密。可以使用 Jasypt 提供的工具来生成加密密钥。这里,input参数是你要加密的密钥,password参数是用于保护密钥的密码,algorithm参数是加密算法。
加密组件Jasypt学习、实战及踩坑记录
lonelymanontheway的博客
04-15 2713
DecryptionException: Unable to decrypt property; Failed to bind properties under '' to java.lang.String;
SpringBoot中集成jasypt-spring-boot实现配置文件数据加密脱敏
BADAO_LIUMANG_QIZHI的博客
07-15 1080
经常会遇到这样一种情况:项目的配置文件中总有一些敏感信息,比如数据源的url、用户名、密码....这些信息一旦被暴露那么整个数据库都将会被泄漏,那么如何将这些配置隐藏呢。除了使用手动将加密之后的配置写入到配置文件中,提取的时候再手动解密的方式,还可以使用如下方式。
jasypt 、 druid 在线加解密
weixin_42365438的博客
08-21 4481
jasypt 、 druid 在线加解密每次都要自己写加解密方法,麻烦又不好找,不如收藏一个站点,随时在线加解密,完美实现jasypt 、 druid 在线加解密 每次都要自己写加解密方法,麻烦又不好找,不如收藏一个站点,随时在线加解密,完美实现jasypt 、 druid 在线加解密 链接: jasypt 、 druid 在线加解密 ...
Spring Boot项目使用 jasypt 加密组件进行加密(例如:数据库、服务的Key、等等进行加密)
总结分享
06-03 3434
密码配置项都不加密?`想啥呢?`
基于JasyptSpringBoot配置文件加密
08-25
主要介绍了基于JasyptSpringBoot配置文件加密,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
配置文件内容加密jasypt demo
12-14
配置文件内容加密jasypt.
SpringBoot 集成 Jasypt 对数据库加密以及踩坑
08-18
在本文中,我们将介绍如何在 SpringBoot 项目中集成 Jasypt 对数据库进行加密,并解决在使用 Jasypt 过程中遇到的常见问题。 在开始之前,需要首先添加 Jasypt 的依赖项到 pom.xml 文件中: ```xml <groupId>...
SpringBoot(27) 整合jasypt加密yml配置文件
08-17
SpringBoot(27) 整合jasypt加密yml配置文件
Jasypt加解密
C_Karen的博客
11-11 8828
Jasypt也即`Java Simplified Encryption`是`Sourceforge.net`上的一个开源项目。Jasypt 1.4的新特性包括:加密属性文件(encryptable properties files)、Spring Framework集成、加密Hibernate数据源配置、新的命令工具、URL加密的Apache wicket集成以及升级文档。
使用jasyptspringboot配置文件加密
m0_46836425的博客
04-18 829
使用jasypt配置文件加密先看一份典型的配置文件 这是节选自某个典型的Spring Boot项目的application.properties配置文件;这乍一看没啥问题,很多人会觉得理所当然。包括我自己也看到过很多的项目(包括很多开源项目)是这么写的。但仔细一琢磨,发现:很多项目的配置文件里,包括数据库密码、缓存密码、亦或是一些第三方服务的Key都是直接配在里面,没有做任何加密处理!之前倒是看到过一个例子,一个程序员把自己公司的项目代码上传到了自己的GitHub仓库里了,结果配置文件忘了处理,导致公司数
jasypt配置敏感信息加密解密及其原理
trayvontang的博客
02-29 1070
比如我们要定义一个使用RSA加密方式的,我们只需要实现StringEncryptor接口就可以。// 更好的方式是在RsaStringEncryptor直接指定@Component("jasyptStringEncryptor") // new的方式不会直接处理EnvironmentAware return new RsaStringEncryptor();} }
Jasypt解析springboot配置文件
05-30
要在Spring Boot应用程序中使用Jasypt进行配置文件加密和解密,可以按照以下步骤进行操作: 1. 添加Jasypt依赖项 在pom.xml文件中添加以下依赖项: ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>{jasypt-version}</version> </dependency> ``` 其中,{jasypt-version}是Jasypt版本号,可以根据需要进行修改。 2. 配置加密密码 在application.properties或者application.yml文件中添加以下配置: ``` jasypt.encryptor.password=your_password ``` 其中,your_password是你用来加密和解密配置文件的密码。 3. 加密配置文件 使用Jasypt提供的命令行工具,对需要加密配置文件进行加密。例如,对application.yml进行加密,可以使用以下命令: ``` java -cp jasypt-{jasypt-version}.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="your_plaintext_config" password="your_password" algorithm=PBEWithMD5AndDES ``` 其中,your_plaintext_config是明文配置文件,your_password是加密密码,algorithm是加密算法。 加密后的配置文件应该包含ENC()前缀,例如: ``` spring: datasource: url: jdbc:mysql://localhost:3306/mydb?serverTimezone=UTC username: ENC(6kInJ6wB1JQqGz6Z7Qv+Q2z3Oc1k1f1+) password: ENC(Az7+0fJEWfDfPQXa/3GvZQ==) ``` 4. 解密配置文件 Spring Boot应用程序启动时,Jasypt会自动解密加密配置文件。因此,无需做任何额外的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值