1、Bug说明
使用SpringBoot框架做过开发的媛友都知道,application.yml资源文件中的内容通常情况下是明文显示,安全性就比较低一些。只要获取到Springboot项目打包后的jar包,解压之后就可以打开application.properties或application.yml,一些服务端的私密信息就可以轻松获取到,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥都可以轻松获取到。
测试小姐姐就是通过上面这种方式获取到了mysql和redis的链接信息, 然后我就被提了bug,bug的描述就是数据库连接信息明文存储,安全性低,然后bug的等级定位为严重。。。
2、Bug修复
这里修复这个问题的主要方式就是把所有链接信息都进行加密处理,不让信息明文显示, 网上查阅了一些资料,发现已经有人写了相关加密工具组件的starter,我们这里就直接拿来使用,这个加密工具组件叫jasypt
pom.xml
<!-- https://mvnrepository.com/artifact/com.github.ulisesbocchio/jasypt-spring-boot-starter -->
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.3</version>
</dependency>
在application.yml 文件中配置jasypt加密的秘钥
jasypt:
encryptor:
password: MouseLoveRice
编写测试类,将需要加密的敏感信息进行加密
@SpringBootTest
public class EncryptSensitiveInfoTest {
@Autowired
private StringEncryptor encryptor;
@Test
public void getPass() {
String url = encryptor.encrypt("jdbc:mysql://localhost:3306/xxxx?useUnicode=true&characterEncoding=utf-8&autoReconnect=true&serverTimezone=GMT%2B8&");
String name = encryptor.encrypt("rds");
String password = encryptor.encrypt("rds");
System.out.println("mysql url: " + url);
System.out.println("mysql name: " + name);
System.out.println("mysql password: " + password);
}
}
将加密后的字符串替换applcation.yml原明文
spring:
# 数据库相关配置
datasource:
driver-class-name: com.mysql.cj.jdbc.Driver
url: ENC(h20YiPrvNnuuTGjlrE1RVpudMuIQAS6ZPSVo1SPiYVyLen7/TWI5rXVRkStA3MDcoVHQCmLa70wYU6Qo8wwtnsmaXa5jykD3MNhAp5SGJxHsTG5u7tflPdnNmOufyhdsYPxBGWAgibYs9R7yBfrvtwBTRbe096APd3bnG3++Yro=)
username: ENC(sT6BztXbJSa71eg6pPGYGQ==)
password: ENC(MpSZFJ9ftR+3+VUANZBy3Q==)
注意: 上面的 ENC() 是固定写法, 它会自动被解析执行。
2、Bug修复中的问题及解决办法
虽然我们解决了application.yml文件中其他的敏感信息问题,但是我们又增加了新的敏感信息,这个敏感信息就是jasypt加密的秘钥,拿到这个密码还是很容易就可以加密得到application.yml中加密的信息
这里我们的解决方式就是,我们不再application.yml文件中存储这个秘钥, 当我没问呢西南股转测试或者发布时, 我们在启动jar的时候,把这个字段当做参数进行传递就可以了。
java -jar xxx.jar -Djasypt.encryptor.password=xxxxxxxxx
这样就奔就可以解决applicatoin.yml文件中的明文显示敏感信息的问题了, 友情提示,在我们系am股转测试时或者发布时, 一定要及时清理掉或者排除掉我们加密敏感信息的测试类问题,好了, 就说这么多, 大家晚安~