数据库密码直接写在配置中,对运维安全来说,是一个很大的挑战。可以使用Druid为此提供一种数据库密码加密的手段ConfigFilter。项目已经集成druid所以只需按要求配置即可。
执行命令加密数据库密码
java -cp druid-1.2.4.jar com.alibaba.druid.filter.config.ConfigTools password
password输入你的数据库密码,输出的是加密后的结果。
privateKey:MIIBUwIBADANBgkqhkiG9w0BAQEFAASCAT0wggE5AgEAAkEAhrhqN4s454nAEY9wjgE3RmCGJc0/k4KqBlItTldYuw1LnuyAFK2b6uDqFDNyl1RUsGw60nc7ximGSd1n22l1EQIDAQABAkA3NMsSB9NBzokOqSEOkCD+jf9q7jjnUdwqyvIV8GVEAQ5cfUtDenvyrCDK6tCseddBPZKXS5+6wxDiFDcqxGChAiEAw3ki49xviBr9YPe0hQ/XC/i5hTK6XGvMDH6I0Zw9UY8CIQCwb36mgdp9On9gBF0cb14ijxUfbKlcDRasTf0uxgo/XwIgH5zstptE8mcjCVamPErWhZohLtiIaUAJzQ99wyCYjiMCIBMFIfkfPIeNe9fFAKilFNfS5usJUsSaoJwYmDenn8kvAiBZ0Xl9LjH51w8X7oN9jrgkdaObs6alRjJFuO1/2eeaVw==
publicKey:MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAIa4ajeLOOeJwBGPcI4BN0ZghiXNP5OCqgZSLU5XWLsNS57sgBStm+rg6hQzcpdUVLBsOtJ3O8YphkndZ9tpdRECAwEAAQ==
password:GNS9sKBKuwmoOEJ+n3v4YTOk4ICYfYEqEwwwz4D8mqH1g4O7xS3aRMDU1LPn+e727P8IFFImpkgWC9d0NQEBCA==
配置数据源,提示Druid数据源需要对数据库密码进行解密。
注意修改数据库的password为druid加密后的密码。
本例中为:GNS9sKBKuwmoOEJ+n3v4YTOk4ICYfYEqEwwwz4D8mqH1g4O7xS3aRMDU1LPn+e727P8IFFImpkgWC9d0NQEBCA=
增加 connection-properties配置 connection-properties: config.decrypt=true;config.decrypt.key=上面加密时生成的publicKey
本例中为:
:MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAIa4ajeLOOeJwBGPcI4BN0ZghiXNP5OCqgZSLU5XWLsNS57sgBStm+rg6hQzcpdUVLBsOtJ3O8YphkndZ9tpdRECAwEAAQ==
# 数据源配置
spring:
datasource:
type: com.alibaba.druid.pool.DruidDataSource
driverClassName: com.mysql.cj.jdbc.Driver
druid:
# 主库数据源
master:
url: jdbc:mysql://localhost:3306/ry?useUnicode=true&characterEncoding=utf8&zeroDateTimeBehavior=convertToNull&useSSL=true&serverTimezone=GMT%2B8
username: root
password: GNS9sKBKuwmoOEJ+n3v4YTOk4ICYfYEqEwwwz4D8mqH1g4O7xS3aRMDU1LPn+e727P8IFFImpkgWC9d0NQEBCA=
# 从库数据源
slave:
# 从数据源开关/默认关闭
enabled: false
url:
username:
password:
# 初始连接数
initialSize: 5
# 最小连接池数量
minIdle: 10
# 最大连接池数量
maxActive: 20
# 配置获取连接等待超时的时间
maxWait: 60000
# 配置间隔多久才进行一次检测,检测需要关闭的空闲连接,单位是毫秒
timeBetweenEvictionRunsMillis: 60000
# 配置一个连接在池中最小生存的时间,单位是毫秒
minEvictableIdleTimeMillis: 300000
# 配置一个连接在池中最大生存的时间,单位是毫秒
maxEvictableIdleTimeMillis: 900000
# 配置检测连接是否有效
validationQuery: SELECT 1 FROM DUAL
testWhileIdle: true
testOnBorrow: false
testOnReturn: false
connection-properties: config.decrypt=true;config.decrypt.key=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAIa4ajeLOOeJwBGPcI4BN0ZghiXNP5OCqgZSLU5XWLsNS57sgBStm+rg6hQzcpdUVLBsOtJ3O8YphkndZ9tpdRECAwEAAQ==
webStatFilter:
enabled: true
statViewServlet:
enabled: true
# 设置白名单,不填则允许所有访问
allow:
url-pattern: /druid/*
# 控制台管理用户名和密码
login-username:
login-password:
filter:
config:
# 是否配置加密
enabled: true
stat:
enabled: true
# 慢SQL记录
log-slow-sql: true
slow-sql-millis: 1000
merge-sql: true
wall:
config:
multi-statement-allow: true
DruidProperties配置connectProperties属性
增加关键代码:
/** 为数据库密码提供加密功能 */
try {
datasource.setFilters("config");
datasource.setConnectionProperties(connectProperties);
} catch(SQLException e) {
throw new BeanCreationException("create DruidDataSource bean failed, caused by " + e.getMessage());
}
package com.ruoyi.framework.config.properties;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import com.alibaba.druid.pool.DruidDataSource;
/**
* druid 配置属性
*
* @author ruoyi
*/
@Configuration
public class DruidProperties
{
@Value("${spring.datasource.druid.initialSize}")
private int initialSize;
@Value("${spring.datasource.druid.minIdle}")
private int minIdle;
@Value("${spring.datasource.druid.maxActive}")
private int maxActive;
@Value("${spring.datasource.druid.maxWait}")
private int maxWait;
@Value("${spring.datasource.druid.timeBetweenEvictionRunsMillis}")
private int timeBetweenEvictionRunsMillis;
@Value("${spring.datasource.druid.minEvictableIdleTimeMillis}")
private int minEvictableIdleTimeMillis;
@Value("${spring.datasource.druid.maxEvictableIdleTimeMillis}")
private int maxEvictableIdleTimeMillis;
@Value("${spring.datasource.druid.validationQuery}")
private String validationQuery;
@Value("${spring.datasource.druid.testWhileIdle}")
private boolean testWhileIdle;
@Value("${spring.datasource.druid.testOnBorrow}")
private boolean testOnBorrow;
@Value("${spring.datasource.druid.testOnReturn}")
private boolean testOnReturn;
@Value("${spring.datasource.druid.connection-properties}")
private String connectProperties;
public DruidDataSource dataSource(DruidDataSource datasource)
{
/** 配置初始化大小、最小、最大 */
datasource.setInitialSize(initialSize);
datasource.setMaxActive(maxActive);
datasource.setMinIdle(minIdle);
/** 配置获取连接等待超时的时间 */
datasource.setMaxWait(maxWait);
/** 配置间隔多久才进行一次检测,检测需要关闭的空闲连接,单位是毫秒 */
datasource.setTimeBetweenEvictionRunsMillis(timeBetweenEvictionRunsMillis);
/** 配置一个连接在池中最小、最大生存的时间,单位是毫秒 */
datasource.setMinEvictableIdleTimeMillis(minEvictableIdleTimeMillis);
datasource.setMaxEvictableIdleTimeMillis(maxEvictableIdleTimeMillis);
/**
* 用来检测连接是否有效的sql,要求是一个查询语句,常用select 'x'。如果validationQuery为null,testOnBorrow、testOnReturn、testWhileIdle都不会起作用。
*/
datasource.setValidationQuery(validationQuery);
/** 建议配置为true,不影响性能,并且保证安全性。申请连接的时候检测,如果空闲时间大于timeBetweenEvictionRunsMillis,执行validationQuery检测连接是否有效。 */
datasource.setTestWhileIdle(testWhileIdle);
/** 申请连接时执行validationQuery检测连接是否有效,做了这个配置会降低性能。 */
datasource.setTestOnBorrow(testOnBorrow);
/** 归还连接时执行validationQuery检测连接是否有效,做了这个配置会降低性能。 */
datasource.setTestOnReturn(testOnReturn);
/** 为数据库密码提供加密功能 */
try {
datasource.setFilters("config");
datasource.setConnectionProperties(connectProperties);
} catch(SQLException e) {
throw new BeanCreationException("create DruidDataSource bean failed, caused by " + e.getMessage());
}
return datasource;
}
}
启动应用程序测试验证加密结果
提示
如若忘记密码可以使用工具类解密(传入生成的公钥+密码)
public static void main(String[] args) throws Exception
{
String password = ConfigTools.decrypt("MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAIa4ajeLOOeJwBGPcI4BN0ZghiXNP5OCqgZSLU5XWLsNS57sgBStm+rg6hQzcpdUVLBsOtJ3O8YphkndZ9tpdRECAwEAAQ==",
"GNS9sKBKuwmoOEJ+n3v4YTOk4ICYfYEqEwwwz4D8mqH1g4O7xS3aRMDU1LPn+e727P8IFFImpkgWC9d0NQEBCA=");
System.out.println("解密密码:" + password);
}
注对于其他使用spring+druid的方式对数据库密码加密同样适用。
对于多数据源多个不同的密码加密可使用如下代码调整后生成不同的数据源密码
public class GenPublicAndPrivateKeyTest {
public static void main(String[] args) {
String password = "admin1234";
try {
// 利用阿里的ConfigTools工具类来生成一对公私钥,私钥用来加密,公钥用来解密
String[] keyParis = ConfigTools.genKeyPair(512);
String privateKey = keyParis[0];
String publicKey = keyParis[1];
System.out.println("privateKey="+privateKey);
System.out.println("publicKey="+publicKey);
String encryptPassword = ConfigTools.encrypt(privateKey, password);
System.out.println("encryptPassword="+encryptPassword);
String decryptPassword = ConfigTools.decrypt(publicKey, encryptPassword);
System.out.println("decryptPassword="+decryptPassword);
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (NoSuchProviderException e) {
e.printStackTrace();
} catch (Exception e) {
e.printStackTrace();
}
}
}