Springboot项目配置文件明文存储敏感信息的安全解决方案

最新推荐文章于 2024-05-30 11:35:05 发布
最新推荐文章于 2024-05-30 11:35:05 发布
阅读量2.5k 收藏 13
点赞数 1
分类专栏: Spring全家桶 SpringBoot 文章标签: spring security 权限框架 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41865652/article/details/123781242
版权

1、Bug说明

使用SpringBoot框架做过开发的媛友都知道,application.yml资源文件中的内容通常情况下是明文显示,安全性就比较低一些。只要获取到Springboot项目打包后的jar包,解压之后就可以打开application.properties或application.yml,一些服务端的私密信息就可以轻松获取到,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥都可以轻松获取到。
测试小姐姐就是通过上面这种方式获取到了mysql和redis的链接信息, 然后我就被提了bug,bug的描述就是数据库连接信息明文存储,安全性低,然后bug的等级定位为严重。。。

2、Bug修复

这里修复这个问题的主要方式就是把所有链接信息都进行加密处理,不让信息明文显示, 网上查阅了一些资料,发现已经有人写了相关加密工具组件的starter,我们这里就直接拿来使用,这个加密工具组件叫jasypt

pom.xml

<!-- https://mvnrepository.com/artifact/com.github.ulisesbocchio/jasypt-spring-boot-starter -->
<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.3</version>
</dependency>

在application.yml 文件中配置jasypt加密的秘钥

jasypt:
  encryptor:
    password: MouseLoveRice

编写测试类,将需要加密的敏感信息进行加密

@SpringBootTest
public class  EncryptSensitiveInfoTest {

    @Autowired
    private StringEncryptor encryptor;

    @Test
    public void getPass() {
        String url = encryptor.encrypt("jdbc:mysql://localhost:3306/xxxx?useUnicode=true&characterEncoding=utf-8&autoReconnect=true&serverTimezone=GMT%2B8&");
        String name = encryptor.encrypt("rds");
        String password = encryptor.encrypt("rds");
        System.out.println("mysql url: " + url);
        System.out.println("mysql name: " + name);
        System.out.println("mysql password: " + password);
    }
}

将加密后的字符串替换applcation.yml原明文

spring:
  # 数据库相关配置
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: ENC(h20YiPrvNnuuTGjlrE1RVpudMuIQAS6ZPSVo1SPiYVyLen7/TWI5rXVRkStA3MDcoVHQCmLa70wYU6Qo8wwtnsmaXa5jykD3MNhAp5SGJxHsTG5u7tflPdnNmOufyhdsYPxBGWAgibYs9R7yBfrvtwBTRbe096APd3bnG3++Yro=)
    username: ENC(sT6BztXbJSa71eg6pPGYGQ==)
    password: ENC(MpSZFJ9ftR+3+VUANZBy3Q==)

注意: 上面的 ENC() 是固定写法, 它会自动被解析执行。

2、Bug修复中的问题及解决办法

虽然我们解决了application.yml文件中其他的敏感信息问题,但是我们又增加了新的敏感信息,这个敏感信息就是jasypt加密的秘钥,拿到这个密码还是很容易就可以加密得到application.yml中加密的信息

这里我们的解决方式就是,我们不再application.yml文件中存储这个秘钥, 当我没问呢西南股转测试或者发布时, 我们在启动jar的时候,把这个字段当做参数进行传递就可以了。

java -jar xxx.jar  -Djasypt.encryptor.password=xxxxxxxxx

这样就奔就可以解决applicatoin.yml文件中的明文显示敏感信息的问题了, 友情提示,在我们系am股转测试时或者发布时, 一定要及时清理掉或者排除掉我们加密敏感信息的测试类问题,好了, 就说这么多, 大家晚安~

嫣夜来
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
jasypt 加密 yml 配置文件中的明文信息
qq_38423062的博客
05-28 554
项目yml 配置信息裸奔的情况怎么解决??? 总结了两种方法(分布式配置中心的方式这里不做讨论!!!) 一、通过配置环境变量方法 形式一 : ${MYSQL_HOST} 形式二 : ${MYSQL_HOST:cdb-b5oatyvi.bj.tencent.com} 形式二 : :这种形式的意思是 当配置了 MYSQL_HOST 环境变量之后,就不会使用后面的地址,如果没有配置,则时候冒号后面的地址 配置 MYSQL_HOST 环境变量 : 二、通过 jasypt 进行加密 配置步骤 :
Spring Boot 配置属性类型安全,你都了解了吗?
weixin_72753070的博客
07-22 187
SpringBoot提供了基础设施来绑定@ConfigurationProperties类型并将它们注册为bean。可以逐个类地启用配置属性,也可以启用与组件扫描方式类似的配置属性扫描。环境准备环境。
视频安全技术解析及解决方案
01-19
一、背景   随着视频技术的发展,视频信息系统的网络化趋势明显。现有视频信息系统中,视频信息大多以明文方式存储和传输,存在较大的安全风险,尤其对公共安全、金融、司法等行业而言,信息数据的保密性要求更为迫切。保障数据存储特别是网络传输的安全尤为重要。   以平安城市为例,为了加强社会治安的管控力度,提高公安的工作效率,在平安城市已部署的视频资源的基础上,迫切需要将企业、小区、酒店、餐饮等社会资源的视频接入到城市管理平台中。同时,政府质监、安监、环保、卫生等职能部门也迫切需要将其管控对象的视频纳入行业管理平台,以提高监管的效能和效率。在这些应用中,网络传输的安够确保重要场所视频在互联网上传输的
SpringBoot配置文件中数据库密码加密两种方案(推荐)
08-25
SpringBoot项目经常将连接数据库的密码明文放在配置文件里,安全性就比较低一些,尤其在一些企业对安全性要求很高,因此我们就考虑如何对密码进行加密,文中给大家介绍加密的两种方式,感兴趣的朋友一起看看吧
springboot项目配置文件加密--yml文件
weixin_45368812的博客
03-19 479
部署采用jar包部署,虽然方便,但是只要一解压,写在配置文件中的密码也是全明文状态了。这是很不安全的。解决办法: 就是把配置文件中的明文全部用密文代替程序能正确解析配置文件中的密文可以加密ip地址吗提示:以下是本篇文章正文内容,下面案例可供参考总之,就是一句话。
java实现数据库配置yml文件用户名密码加密
m0_37914467的博客
11-18 2876
1.pom文件中加入依赖,注意这里版本不能太高,我之前用的3.0.2,一直报错(Failed to bind properties under ‘spring.datasource.password‘ to java.lang.String),踩坑记录下 <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-
SpringBoot项目配置明文密码泄露问题处理
北亮的专栏
01-20 2631
项目开发过程中,需要配置数据库连接密码、Redis密码、网盘上传的AK/SK等敏感信息,都需要保存在配置文件里,或者配置中心。 这些信息如果泄露,还是会造成一定的困扰,这里介绍2种处理方案: 1、使用系统环境变量储存密码 比如K8S的环境变量、Windows的环境变量、Centos的环境变量等等, 然后在程序里使用 System.getenv()方法读取。 这种方式的好处:只有运维人员知道,连开发都不知道生产的密码。 密码变更也简单,运维直接操作就好了。 缺点就是部署时,容易遗漏,不过可以通过统一的环境镜
SpringBoot 配置文件这样加密,才足够安全
Java笔记虾
11-19 357
点击关注公众号,利用碎片时间学习1. 前景在使用Springboot时,通常很多信息都是在application.yml中直接明文配置的,比如数据库链接信息,redis链接信息等等。但是这样是不安全的。所以需要对敏感数据进行加密,这样防止密码泄露Jasypt这个库为我们解决了这个问题,实现了springboot配置的自定加密加密2. 简单使用源码对应地址:http://gitlab.sea-clo...
springboot实现敏感字段加密存储,解密显示
m0_67266787的博客
03-08 1438
springboot实现敏感字段加密存储,解密显示,通过mybatis,自定义注解+AOP切面,Base64加解密方式实现功能。 1.代码实现: 创建springboot项目 添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId>
springboot中关于密码明文存储配置文件的漏洞整改方式
跟着飞哥学编程(全栈联盟)
03-16 1476
在代码安全审计中发现,系统存在密码明文存储配置文件中的情况,这样的高危风险如何解决呢?
springboot-:记录实现高并发的解决方案
05-12
记录实现高并发的解决方案 day01 1.springboot整合druid多数据源和log4j2 (1)实现数据源,主数据库(写),从数据库(读),读写分离的方案之一 (2)mysql主从复制,保持数据一致性 (3)使用druid的监控功能 (4...
安全传送明文的量子直传实验方案设计
02-11
基于量子纠缠特性,乒乓协议允许绝对安全地进行明文直接通信和渐进地进行密钥安全分发,是一种绝对安全的即时通信协议。该量子直传协议将来有望成为安全稳定的光量子通信的主流方式。然而,目前还没有该协议的物理...
Spring Boot项目application.yml文件数据库配置密码加密
12-23
Spring boot开发中,需要在application.yml文件里配置数据库的连接信息,或者在启动时传入数据库密码,如果不加密,传明文,数据库就直接暴露了,相当于”裸奔”了,因此需要进行加密处理才行。  使用@SpringBoot...
YAML加密
qq_59095002的博客
07-16 1004
基于SpringBoot用于对yaml配置文件进行加密
编码技巧——Springboot工程加密yml配置/Maven引入本地二方包
娜娜米的博客
02-28 1148
基于Springboot的工程项目,通常很多信息都是在application.yml中直接明文配置的,比如数据库链接信息,redis链接信息等; 为了安全考虑,公司打算将yml配置文件中的数据库连接信息的账号,密码进行加密! 公司有开发相关的安全规定,要求对源代码工程中所有的敏感信息进行加密,包括代码和配置文件,防止密码泄露;
spring boot配置文件加密、明文密码加密、properties 和 yml 互相转换
李程程的博客
10-02 8470
spring boot配置文件加密、明文密码加密、properties 和 yml 互相转换1.引入maven2.添加配置(yml格式的;properties 和 yml 在线转换)3.找到maven仓库下:org\jasypt\jasypt\1.9.3将内容进行加密4.常见问题及排查方法 1.引入maven <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasyp
Java项目 yaml明文密码加密
weixin_40293364的博客
05-08 1585
如何使用jasytp.jar包辅助实现密码明文加解密
SpringBoot集成腾讯COS流程
最新发布
weixin_67727883的博客
05-30 265
SpringBoot集成腾讯COS流程
SpringMVC 数据映射VC
weixin_45939821的博客
05-29 612
从 view 层发送请求到Controller,在Controller中获取参数: 在不输入值时会报400,参数错误 在不输入值时num默认为null 没有找到对应标签名称叫nums的,输入任何值时都报400 设置required默认值为false,即使表单没有nums也不会报错 设置defaultValues,参数num的默认值为1 可以直接给对象的属性赋值
怎么对springboot项目配置文件里的明文密码加密
06-09
对于 Spring Boot 项目中的配置文件,我们可以使用 Jasypt(Java Simplified Encryption)来加密明文密码。Jasypt 提供了一个简单的 API 来在代码中加密和解密数据。以下是实现步骤: 1. 添加 Jasypt 依赖 在 pom.xml 文件中添加 Jasypt 依赖: ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>2.1.0</version> </dependency> ``` 2. 配置加密算法 在 application.properties 文件中添加以下配置: ```properties jasypt.encryptor.algorithm=PBEWithMD5AndDES ``` 这里使用的是 PBEWithMD5AndDES 加密算法,可以根据需要选择其他算法。 3. 加密明文密码 使用 Jasypt 提供的 API 对密码进行加密。例如,我们想要加密的密码为 "123456",可以使用以下代码进行加密: ```java import org.jasypt.util.password.StrongPasswordEncryptor; String password = "123456"; StrongPasswordEncryptor passwordEncryptor = new StrongPasswordEncryptor(); String encryptedPassword = passwordEncryptor.encryptPassword(password); System.out.println(encryptedPassword); ``` 将加密后的结果(例如,"EBXzrCJLxKZUeMl6x1cF8Q==")复制到配置文件中的密码字段中。 4. 解密密码 在代码中可以使用以下方法解密加密后的密码: ```java import org.jasypt.util.password.StrongPasswordEncryptor; String password = "123456"; String encryptedPassword = "EBXzrCJLxKZUeMl6x1cF8Q=="; StrongPasswordEncryptor passwordEncryptor = new StrongPasswordEncryptor(); boolean isPasswordCorrect = passwordEncryptor.checkPassword(password, encryptedPassword); System.out.println(isPasswordCorrect); ``` 这里的 isPasswordCorrect 变量将会是 true,表示密码正确。 通过以上步骤,我们就可以在 Spring Boot 项目安全地加密配置文件中的明文密码了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值