Druid，实现MySQL数据库登录密码加密

为什么要加密？

现在的开发习惯，无论是公司的项目还是个人的项目，都会选择将源码上传到 Git 服务器（GitHub、Gitee 或是自建服务器），但只要将源码提交到公网服务器就会存在源码泄漏的风险，而数据库配置信息作为源码的一部分，一旦出现源码泄漏，那么数据库中的所有数据都会公之于众，其产生的不良后果无法预期。

于是为了避免这种问题的产生，我们至少要对数据库的密码进行加密操作，这样即使得到了源码，也不会造成数据的泄露。

如何加密？

对于 Java 项目来说，要想快速实现数据库的加密，最简单可行的方案就是使用阿里巴巴提供的 Druid 来实现加密。

加密执行流程

在没有进行密码加密之前，项目的交互流程是这样的：

在使用了密码加密之后，项目的交互流程就变成了这样：

未加密的配置文件

spring:
  # 设置数据源
  datasource:
    url: jdbc:mysql://127.0.0.1:3306/mybatis_plus?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
    driver‐class‐name: com.mysql.cj.jdbc.Driver
    type: com.alibaba.druid.pool.DruidDataSource
    username: root
    password: aaaaaa

Druid实现加密

环境：

这里是引用

第一步：添加 maven 依赖：

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid-spring-boot-starter</artifactId>
    <version>1.1.21</version>
</dependency>

<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
    <scope>runtime</scope>
</dependency>

第二步：生成密文

import com.alibaba.druid.filter.config.ConfigTools;

class GenerateCiphertext {
    public static void main(String[] args) throws Exception {
        // 需要加密的明文(数据库密码)
        String password = "aaaaaa";
        // 调用 druid 生成私钥、公钥、密文
        ConfigTools.main(new String[]{password});
    }
}

运行结果：

privateKey:MIIBVQIBADANBgkqhkiG9w0BAQEFAASCAT8wggE7AgEAAkEAlzvBHHZuxRVmlsD4fdMe3JPYShoq+n4pY8c/nTwI+ECvQFcPtPCUtnZYadO51wZ1/0JRgOtTg4IihCxzewj/qwIDAQABAkAL1x7QZqlXfsxwYx1RZJUW+fBGJPRWdkgxSqk9WzTskqz8nLAgGRxVClIpY6JJ0Bkga2u7hdJtqGgzA9hmbRApAiEA1VhlwrLNOKPP3eG8EDUYAWrliVdrTS/XMZshiK3o1OUCIQC1eEx307ndYzHRtXSHe8tIsquBUS/mOMiiaGqwz/JJTwIhANHq3JWqIMsuQ4VqawT3eNtMNvXgEjAsdmzU2zYFCCcRAiAUWWIRyc880SPEBVoE20/nXgm3XZhGc7Wj6JuWKitcJwIhAKvXi5MSuh937aAm0Qz07TUJCciTnfNckrYFwLTRk1vB
publicKey:MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAJc7wRx2bsUVZpbA+H3THtyT2EoaKvp+KWPHP508CPhAr0BXD7TwlLZ2WGnTudcGdf9CUYDrU4OCIoQsc3sI/6sCAwEAAQ==
password:a8zbVEue5ahx3pBMPLOHCnn1/Hxse7vS4sKKER1Xij8fZQkHKZcILoz2FI5D1Cd2EGdWTTJAChddCd/+hf8BVw==

从上述结果可以看出，使用 com.alibaba.druid.filter.config.ConfigTools 类会生成 3 部分的内容：

privateKey：私钥，暂时不会用到，用于密码的加密；
publicKey：公钥，用于密码的解密；
password：加密之后的密码。

PS：要实现数据库的加密，主要使用的是 publicKey（公钥）和 password（密文）。

第三步：添加配置

  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    type: com.alibaba.druid.pool.DruidDataSource
    druid:
      url: jdbc:mysql://127.0.0.1:3306/mybatis_plus?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
      username: root
      # 加密后的密码
      password: a8zbVEue5ahx3pBMPLOHCnn1/Hxse7vS4sKKER1Xij8fZQkHKZcILoz2FI5D1Cd2EGdWTTJAChddCd/+hf8BVw==
      # 加密配置
      filters: config
      connect-properties:
        config.decrypt: true
        # 公钥 publicKey
        config.decrypt.key: MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAJc7wRx2bsUVZpbA+H3THtyT2EoaKvp+KWPHP508CPhAr0BXD7TwlLZ2WGnTudcGdf9CUYDrU4OCIoQsc3sI/6sCAwEAAQ==

当我们输入正确的公钥值时程序可以正常运行，当输入一个错误的公钥值时就会提示解码失败，如下图所示：

你以为这就结束了，可是有没有想过，上面的做法很明显就是 “插着钥匙的锁”

将密文和公钥都写入配置文件，这就会造成当有人拿到密文和公钥之后，就可以使用 Druid 将加密的密码还原出来了，这就好比一把插着钥匙的锁是极不安全的。

因此正确的使用姿势：是将公钥找一个安全的地方保存起来，每次在项目启动时动态的将公钥设置到项目中，这样就可以有效的保证密码的安全了。可以使用springboot配置文件中的占位符 ${} 来实现。

因此我们可以修改为如下配置：

  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    type: com.alibaba.druid.pool.DruidDataSource
    druid:
      url: jdbc:mysql://127.0.0.1:3306/mybatis_plus?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
      username: root
      # 加密后的密码
      password: a8zbVEue5ahx3pBMPLOHCnn1/Hxse7vS4sKKER1Xij8fZQkHKZcILoz2FI5D1Cd2EGdWTTJAChddCd/+hf8BVw==
      # 加密配置
      filters: config
      connect-properties:
        config.decrypt: true
        # 公钥 publicKey
        config.decrypt.key: ${spring.datasource.druid.publickey}

可以看出公钥被修改成 “${spring.datasource.druid.publickey}” 了（并非是固定不可变的 key，用户可自行定义），这就相当于使用占位符先把坑给占上，等项目启动时再更换上具体的值。

第四步：启动参数添加公钥

开发环境只需要在 Idea 的启动参数中配置公钥的值即可，如下图所示：

生产环境在启动 jar 包时只需要动态设置公钥的值即可，参考以下命令：

java -jar xxx.jar --spring.datasource.druid.publickey=公钥

如此大功告成！！