需求:需要对application.yml中配置的数据库密码加密
配置文件如下:
spring:
datasource:
driver-class-name: com.mysql.jdbc.Driver
url: jdbc:mysql://127.0.0.1:3306/user?serverTimezone=CTT&useSSL=false&allowPublicKeyRetrieval=true
username: test
password: 123456
jasypt 介绍
项目中我们经常在配置文件中配置数据库的账号/密码,这些账户密码通常以明文的方式来配置,比如项目源码泄漏,员工一不小心将公司源码上传到公有仓库,导致公司数据库密码泄漏。这时候对配置文件的关键信息进行加密就变得非常有必要了。
Jasypt是一个Java库,它允许开发者以最小的努力为项目添加基本的加密功能,而且不需要对密码学的工作原理有深刻的了解。
具备以下特点:
1.高安全性、基于标准的加密技术,既可用于单向加密也可用于双向加密。加密密码、文本、数字、二进制文件。
2.与Hibernate的透明集成。
3.适合集成到基于Spring的应用程序中,也可与SpringSecurity透明集成。
4.对应用程序的配置进行加密的综合能力。
5.在多处理器/多核系统中具有高性能加密的特殊功能。
6.开发的API,可与任何JCE供应商一起使用。
jasypt 使用
1.引入jasypt-spring-boot加密组件
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.3</version>
</dependency>
2.设置加密秘钥
加密秘钥用来对待加密数据进行加密、解密使用,应用程序启动时需要加载到。Springboot的工程中设置加密秘钥方式有多种。
第一种:在配置文件中配置(建议在开发环境中使用)
jasypt.encryptor.password=YourEncKey
其中YourEncKey为自定义的秘钥。
第二种:在应用启动参数中配置(建议在生产部署时使用)
-Djasypt.encryptor.password=YourEncKey
3.对明文进行加密得到加密串
对明文进行加密的主要代码如下:
@Autowired
private StringEncryptor stringEncryptor;
String encryptStr = stringEncryptor.encrypt("需要加密的明文")
4.配置加密后的密码
上述步骤加密后会得到一个加密后的字符串:encryptStr。
将这个加密后的字符串把配置文件application.yml中的password进行替换。
spring:
datasource:
driver-class-name: com.mysql.jdbc.Driver
url: jdbc:mysql://127.0.0.1:3306/user?serverTimezone=CTT&useSSL=false&allowPublicKeyRetrieval=true
username: test
password: ENC(encryptStr)
注意格式:ENC(密文)
使用ENC()包裹的密文,在jasypt-spring-boot组件会自动解密。
进阶使用
通过以上步骤,可以实现对明文密码进行简单的加密,其加密的规则算法使用的是jasypt-spring-boot组件提供的默认的算法。为了提高安全性,用户可以自己实现加密方法。
1.实现接口StringEncryptor
import org.jasypt.encryption.StringEncryptor;
/**
* <p>
* <p>Title:DESEncrypt.java</p >
* <p>Description: </p >
* <p>Date:2022/4/21 10:58</p >
*
* @author 小王同学
* @version 1.0
*/
public class DESEncrypt implements StringEncryptor {
//加密
@Override
public String encrypt(String message) {
try {
//自己实现加密
return "自己定义的方法的返回值";
}catch (Exception e){
e.printStackTrace();
return message;
}
}
//解密
@Override
public String decrypt(String encryptedMessage) {
try {
//自己实现解密
return "自己定义的方法的返回值";
}catch (Exception e){
e.printStackTrace();
return encryptedMessage;
}
}
}
2.配置生效
import org.jasypt.encryption.StringEncryptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
/**
* <p>
* <p>Title:EncryptionConfig.java</p >
* <p>Description: </p >
* <p>Date:2022/4/21 11:02</p >
*
* @author 小王同学
* @version 1.0
*/
@Configuration
public class EncryptionConfig {
@Bean(name = "jasyptStringEncrytor")
public StringEncryptor stringEncryptor(){
//调用自己实现的类即可
DESEncrypt desEncrypt = new DESEncrypt();
return desEncrypt;
}
}
备注:如果以上3.0版本的jar包无法正常加密解密可以使用低版本的,pom如下:
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>1.17</version>
</dependency>
加密时也可以通过脚本的方式实现,如下:
java -cp jasypt-1.9.2.jar org.jasyt.intf.cli.JasyptPBEStringEncryptionCLI input=加密内容 password=秘钥 algorithm=PBEWithMD5AndDES
字段说明:
jasypt-1.9.2.jar 为加密使用的jar包,可以自行去网上搜索下载
input为需要加密的内容
password为秘钥及盐
algorithm为选择的加密算法(供选择算法:PBEWithMD5AndDES,其他支持的算法可以自行搜索使用)
查看output下打印内容,即为加密后信息。