springboot配置文件中敏感数据(账号密码)加密

已于 2023-01-11 18:27:07 修改
阅读量645 收藏 1
点赞数
分类专栏: java开发 文章标签: spring boot java 数据库
于 2023-01-11 18:23:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiaodaima0/article/details/128648734
版权
文章介绍了在项目部署到实际环境中遇到安全检查要求整改明文配置的数据库和中间件账号密码的问题。作者推荐使用Jasypt工具进行加密,并详细阐述了引入Jasypt依赖、创建加密工具类、配置文件设置以及如何替换账号密码的过程。还提及了对其他敏感数据加密的预研计划。
摘要由CSDN通过智能技术生成

背景:

原本项目中数据库和中间件账号密码都是直接用明文配置的,毕竟这样最方便开发,平时也没人在乎这个。但是部署到实际项目中,甲方进行安全检查第一个就查到这个,要求我们整改,那只能整了。

网上找了一些资料,好像大都用Jasypt加密工具操作,Jasypt官网看其他博客看了下,发现使用起来比较方便,直接简单记录下,

扩展:直接预研敏感数据加密技术,不只是对配置文件加密,对其他接口经过后台的敏感数据也进行了解,包括数据加密、加密后的技术怎么进行模糊查询等等,会在后续博客中进行编写。当然这都是后话,下面直接操作Jasypt进行配置文件账号密码加密。

实践Jasypt

1、引入依赖

    <!-- https://mvnrepository.com/artifact/com.github.ulisesbocchio/jasypt-spring-boot-starter -->
    <dependency>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-spring-boot-starter</artifactId>
        <version>3.0.5</version>
    </dependency>

如果项目中启动类没有 @SpringBootApplication或@EnableAutoConfiguration注解,那么需要引入jasypt-spring-boot依赖且需要创建配置类并启用 @Configuration和@EnableEncryptableProperties,进行声明。

2、账号密码转成加密值

创建一个工具类把我们的账号密码进行加密

import org.jasypt.properties.PropertyValueEncryptionUtils;
import org.jasypt.util.text.BasicTextEncryptor;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
/**
* Jasypt加密工具类
* @author ppp
* @date 2023/1/5
*/
public class JasyptUtil {
    private static final Logger logger = LoggerFactory.getLogger(JasyptUtil.class);
    /**
     * 加密使用密钥,需要在和配置文件中的jasypt.encryptor.password保持一致	
     */
    private static final String PRIVATE_KEY = "demo";
    /**
     * BasicTextEncryptor对象初始化使用的算法就是"PBEWithMD5AndDES"
     * 点击进源码构造方法中就可以看到下面的设置
     * this.encryptor.setAlgorithm("PBEWithMD5AndDES");
     */
    private static BasicTextEncryptor basicTextEncryptor = new BasicTextEncryptor();

    static {
        basicTextEncryptor.setPassword(PRIVATE_KEY);
    }
    /**
     * 明文加密
     *
     * @param plaintext 明文
     * @return String
     */
    public static String encrypt(String plaintext) {
        logger.info("明文字符串为:{}", plaintext);
        String ciphertext = basicTextEncryptor.encrypt(plaintext);
        logger.info("密文字符串为:{}", ciphertext);
        return ciphertext;
    }

    /**
     * 解密
     *
     * @param ciphertext 密文
     * @return String
     */
    public static String decrypt(String ciphertext) {
        logger.info("密文字符串为:{}", ciphertext);
        ciphertext = "ENC(" + ciphertext + ")";
        if (PropertyValueEncryptionUtils.isEncryptedValue(ciphertext)) {
            String plaintext = PropertyValueEncryptionUtils.decrypt(ciphertext, basicTextEncryptor);
            logger.info("明文字符串为:{}", plaintext);
            return plaintext;
        }
        logger.error("解密失败!");
        return "";
    }

    public static void main(String[] args) {
        String encrypt = encrypt("123456");
        String test = decrypt(encrypt);
    }
}

3、配置文件添加配置

application.yml中添加配置

jasypt:
  encryptor:
    # 指定加密密钥,生产环境请放到启动参数里面 -Djasypt.encryptor.password=加密密钥
    password: demo
    # 指定解密算法,需要和加密时使用的算法一致
    algorithm: PBEWithMD5AndDES
    # 指定initialization vector类型
    iv-generator-classname: org.jasypt.iv.NoIvGenerator

4、替换账号密码

把application.yml中需要加密的账号密码都换成 ENC(密文) 格式即可,启用项目后他会检测配置文件中ENC样式的数据把里面的密文解密出来给框架使用。

快乐敲代码
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot属性文件账号密码加密
xiao-啸
02-20 790
SpringBoot属性文件账号密码加密
Springboot配置文件加密
qq_48329942的博客
12-02 805
对服务器的间件进行保护设置,在配置文件尽量不要暴露出来服务器件的密码账号。需要对配置文件进行加密处理。
SpringBoot安全实践:配置文件密码加密与解密
最新发布
emprere的博客
05-26 267
因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享点击关注#互联网架构师公众号,领取架构师全套资料 都在这里0、2T架构师学习资料干货分上一篇:2T架构师学习资料干货分享大家好,我是互联网架构师!这两天又有人私信我,给我提需求了。说需要利用 SpringBoot 实现一个对配置文件的明文密码加密的需求。这个需求其实不难,参考 SpringBoot 加载 Nacos 的配置相关...
SpringBoot利用自定义注解优雅地实现隐私数据脱敏(加密显示)
一个任的博客
01-07 6482
前言 这两天在整改等保测出的问题,里面有一个“用户信息泄露”的风险项(就是后台系统里用户的一些隐私数据直接明文显示了),其实指的就是要做数据脱敏。 数据脱敏:把系统里的一些敏感数据进行加密处理后再返回,达到保护隐私作用,实现效果图如下: 其实要实现上面的效果,可能最先想到的方法是直接改每个controller接口,在返回数据前做一次加密处理,当然这个方法肯定是非常捞的。这里推荐用注解来实现,即高效又优雅,省时省力,支持扩展。 其实解决方案大体上分两种:在拿到数据时就已经脱敏了(如在 mysql 查询时用
spring-cloud-config加密
java手机号码归属地查询
07-03 326
config加密安全保护访问加密配置心配置依赖配置配置心配置访问账户与密码客户端配置依赖配置客户端配置访问账户与密码备注敏感内容加密提示对称加密使用前提,修改jce关联jar修改jce原因配置密匙,并对需要的配置进行加密配置密匙测试密匙是否生效配置文件内容加密git配置文件配置非对称加密总结 安全保护 由于配置心存储的内容比较敏感,做一定的安全处理是必要的。为配置心实现安全保护的方式有很多...
springboot文件上传
热门推荐
Starbright.的博客
04-11 2万+
/</</</</其后端处理文件上传的请求地址为/uploadFile,请求方法为POST。在文件上传时需要设置form表单的enctype属性为“multipart/form-data”。
SpringBoot项目application.yml文件数据库配置密码加密的方法
08-19
Spring Boot应用开发,确保数据安全性至关重要,尤其是在配置文件涉及到敏感信息,如数据库连接密码。本篇文章主要探讨如何在Spring Boot项目对`application.yml`文件数据库配置密码进行加密,以防止...
基于Springboot的医院预约挂号系统.zip
03-07
同时,系统需要具备密码加密存储机制,如使用bcrypt或MD5等算法,保障用户信息安全。注册后的用户可以通过账号登录,进行后续的挂号操作。 用户信息管理则涉及到用户的个人信息维护,包括修改个人信息、找回密码等...
基于springboot车辆充电桩管理系统.zip
03-23
同时,敏感信息如用户密码需进行加密存储,确保数据安全性。 7. **异常处理与日志记录**:通过AOP(面向切面编程)实现全局异常处理,捕获并记录运行时可能出现的问题,便于后期问题定位和修复。日志记录则可借助...
基于springboot的民族婚纱预定系统源码数据库.doc
03-10
该框架支持自动配置、外部配置文件、启动器模板依赖包等特性。 2. **SSM框架**:即Spring+SpringMVC+MyBatis的组合。Spring用于管理Bean的生命周期和依赖注入;SpringMVC是Spring的扩展模块,用于实现MVC架构模式,...
基于SpringBoot的网上订餐系统源码数据库.docx
03-10
1. **数据加密**:对敏感信息如密码等进行加密处理。 2. **输入验证**:防止SQL注入等攻击。 3. **异常处理**:完善异常处理机制,提高系统的健壮性。 4. **负载均衡**:通过负载均衡技术分散请求压力,提高响应速度...
SpringBoot 使用 FTP 操作文件
默存
12-19 2191
使用 SpringBoot 配置 FTP 服务器,上传、删除、下载文件。
Spring Boot 密码加密的两种姿势!
江南一点雨的专栏
05-21 1万+
先说一句:密码是无法解密的。大家也不要再问松哥微人事项目密码怎么解密了! 密码无法解密,还是为了确保系统安全。今天松哥就来和大家聊一聊,密码要如何处理,才能在最大程度上确保我们的系统安全。 本文是 Spring Security 系列的第 20 篇,阅读本系列前面的文章有助于更好的理解本文: 挖一个大坑,Spring Security 开搞! 松哥手把手带你入门 Spring Security,别再问密码怎么解密了 手把手教你定制 Spring Security 的表单登录 Spring Secur
springboot接口数据加密(参数和返回结果)
qq_45016971的博客
12-19 4509
springboot接口数据加密(参数和返回结果)
Springboot AOP实现指定敏感字段数据加密
记事本
06-27 954
Springboot AOP实现指定敏感字段数据加密
springboot实现敏感字段加密存储,解密显示
灰太狼
02-20 3705
springboot实现敏感字段加密存储,解密显示,通过mybatis,自定义注解+AOP切面,Base64加解密方式实现功能。 1.代码实现: 创建springboot项目 添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId&g
jasypt对application.yaml敏感数据加密
XiaoQi's Blog
12-28 840
jasypt对application.yaml敏感数据加密
SpringBoot 实现数据加密脱敏(注解 + 反射 + AOP)
m0_71777195的博客
08-03 1482
场景:响应政府要求,商业软件应保证用户基本信息不被泄露,不能直接展示用户手机号,身份证,地址等敏感信息。根据上面场景描述,我们可以分析出两个点。
springboot连接数据库用户名密码加密
走马川行雪的博客
08-10 5785
数据库账号密码等信息进行加密,程序运行时进行解密。 另一个种方式详见Gitee wj项目
mybatisplus在springboot配置敏感数据加密拦截器
05-26
Mybatis-plus提供了加密拦截器`MybatisPlusInterceptor`,可以在查询和修改时对敏感数据进行加密和解密操作。以下是在Spring Boot配置Mybatis-plus加密拦截器的步骤: 1. 首先,需要在pom.xml文件添加mybatis-plus-boot-starter依赖: ```xml <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>${mybatis-plus.version}</version> </dependency> ``` 2. 创建一个`MetaObjectHandler`实现类,该类可以在插入和更新时自动填充公共字段,例如创建时间、修改时间等。在该类,需要实现`insertFill`和`updateFill`方法,并在需要自动填充的字段上添加`@TableField(fill = FieldFill.INSERT)`和`@TableField(fill = FieldFill.UPDATE)`注解。 ```java @Component public class MyMetaObjectHandler implements MetaObjectHandler { @Override public void insertFill(MetaObject metaObject) { this.strictInsertFill(metaObject, "createTime", LocalDateTime::now, LocalDateTime.class); } @Override public void updateFill(MetaObject metaObject) { this.strictUpdateFill(metaObject, "updateTime", LocalDateTime::now, LocalDateTime.class); } } ``` 3. 创建一个加密拦截器`EncryptInterceptor`,该拦截器可以在查询和修改时对敏感数据进行加密和解密操作。在该拦截器,需要实现`intercept`方法,并在需要加密的字段上添加`@TableField(fill = FieldFill.INSERT_UPDATE)`注解。 ```java @Component public class EncryptInterceptor implements Interceptor { private static final String AES_KEY = "1234567890123456"; private static final String CHARSET = "UTF-8"; @Override public Object intercept(Invocation invocation) throws Throwable { Object parameter = invocation.getArgs()[1]; if (parameter instanceof MappedStatement && ((MappedStatement) parameter).getId().contains("update")) { MetaObject metaObject = SystemMetaObject.forObject(parameter); String[] propertyNames = metaObject.getSetterNames(); for (String propertyName : propertyNames) { if (metaObject.hasSetter(propertyName) && metaObject.hasGetter(propertyName)) { TableField tableField = metaObject.getOriginalObject().getClass().getDeclaredField(propertyName) .getAnnotation(TableField.class); if (tableField != null && tableField.fill() == FieldFill.UPDATE) { Object value = metaObject.getValue(propertyName); if (value != null && value instanceof String) { metaObject.setValue(propertyName, encrypt((String) value)); } } } } } return invocation.proceed(); } private String encrypt(String content) throws Exception { KeyGenerator keygen = KeyGenerator.getInstance("AES"); SecureRandom random = SecureRandom.getInstance("SHA1PRNG"); random.setSeed(AES_KEY.getBytes()); keygen.init(128, random); SecretKey secretKey = keygen.generateKey(); byte[] enCodeFormat = secretKey.getEncoded(); SecretKeySpec key = new SecretKeySpec(enCodeFormat, "AES"); Cipher cipher = Cipher.getInstance("AES"); byte[] byteContent = content.getBytes(CHARSET); cipher.init(Cipher.ENCRYPT_MODE, key); byte[] byteRresult = cipher.doFinal(byteContent); return Base64.encodeBase64String(byteRresult); } } ``` 4. 在配置文件配置Mybatis-plus的加密拦截器和自动填充功能: ```yaml mybatis-plus: global-config: meta-object-handler: com.example.demo.handler.MyMetaObjectHandler configuration: map-underscore-to-camel-case: true log-impl: org.apache.ibatis.logging.stdout.StdOutImpl interceptors: - com.example.demo.interceptor.EncryptInterceptor ``` 5. 在需要加密的字段上添加`@TableField(fill = FieldFill.INSERT_UPDATE)`注解,例如: ```java @TableField(fill = FieldFill.INSERT_UPDATE) private String password; ``` 通过以上步骤,就可以在Spring Boot配置Mybatis-plus加密拦截器了。注意,在实际应用,需要对加密算法、加密密钥等进行更加严格的保护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值