系列文章目录
文章目录
一、先看一份典型的配置文件
... 省略 ...
## 配置MySQL数据库连接
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/user?useUnicode=true&characterEncoding=utf-8
spring.datasource.username=root
spring.datasource.password=123456
## 配置Redis缓存连接
redis.host=localhost
redis.port=6379
redis.password=111111
## 配置SMS短信服务连接
ali.sms.access_key_id=qweqdadasd
ali.sms.access_key_secret=bs4ImWdvss6iy0him8ly
... 省略 ...
这乍一看没啥问题,但是密码都是明文其实很危险
二、哪些信息要加密呢?
一般来说,项目配置文件里,所有涉及信息安全的配置项(或字段)都应该做处理,典型的比如:
- 用到的数据库、缓存的密码
- 用到的中间件、消息队列的密码
- 用到的各种第三方服务的Access_Key
- 其他第三方服务的通信信息
- …等等
三、如何加密配置项呢?
3.1、使用 jasypt-spring-boot 加密
引入依赖
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.2</version>
</dependency>
3.2、在配置文件中指定自定义加密器的bean
指定完,就创建这bean
# 指定bean
jasypt.encryptor.bean=CodeEncrypBean
3.2、使用自定义加密器(创建bean)
说明:
使用自定义加密器,这样会更安全,因为如果将加密密钥写在配置文件中,这跟没有加密差不多。
jasypt.encryptor.password=abc(你的密钥)
定义个配置类 MyJasyptConfig.java
package sqy.db_safe.config;
import org.jasypt.encryption.StringEncryptor;
import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
/**
* @author suqinyi
* @Date 2021/7/9
*/
@Configuration
public class MyJasyptConfig {
private String key = "sqy_safe";
@Bean(name = "CodeEncrypBean")
public StringEncryptor CodeEncrypBean() {
PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
SimpleStringPBEConfig config = new SimpleStringPBEConfig();
config.setPassword(key);
config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256");
config.setKeyObtentionIterations("1000");
config.setPoolSize("1");
config.setProviderName("SunJCE");
config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
config.setStringOutputType("base64");
encryptor.setConfig(config);
return encryptor;
}
//测试
public static void main(String[] args) {
PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
SimpleStringPBEConfig config = new SimpleStringPBEConfig();
config.setPassword("sqy_safe");
config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256");
config.setKeyObtentionIterations("1000");
config.setPoolSize("1");
config.setProviderName("SunJCE");
config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
config.setStringOutputType("base64");
encryptor.setConfig(config);
//===================================
String encrypt = encryptor.encrypt("root");
String decrypt = encryptor.decrypt("ZxY08m8wOk4qE/cTEgfzhRbYQlxKg5mhG+kZ6P5lc0MQwy87Z3MouPFWyVGlGyPf");
System.out.println(encrypt);
System.out.println(decrypt);
}
}
运行下测试得到加密后的密码
明文密码是root
密文就是那一大串
3.4、在配置文件中将密码替换
注意:jasypt人家默认是要这样识别 ENC(密文)
例如:
# 没有加密的明文密码是root
# spring.datasource.password=root
# 加密后的root密码---用ENC()包裹起来
spring.datasource.password=ENC(8rXZXNjNt1kKEQS+iKyJEqwo740LWB0wia3I5J/PRwXNQl0Eor4oWFVhy28iZ39j)
3.4、不使用NNC()包裹,自定义
自己定义前后缀
- jasypt.encryptor.property.prefix=
- jasypt.encryptor.property.suffix=
例如
# 加密配置
# 用sql()包裹密文
jasypt.encryptor.property.prefix=sqy(
jasypt.encryptor.property.suffix=)
#使用sql()包裹
spring.datasource.password=sqy(8rXZXNjNt1kKEQS+iKyJEqwo740LWB0wia3I5J/PRwXNQl0Eor4oWFVhy28iZ39j)
3.5、完整的application.properties
# 应用名称
spring.application.name=db_safe
# 应用服务 WEB 访问端口
server.port=7894
# 配置MySQL数据库连接
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/test01?rewriteBatchedStatements=true&serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=utf8&useSSL=false
spring.datasource.username=root
#spring.datasource.password=root
spring.datasource.password=sqy(8rXZXNjNt1kKEQS+iKyJEqwo740LWB0wia3I5J/PRwXNQl0Eor4oWFVhy28iZ39j)
# druid数据库连接池
spring.datasource.type=com.alibaba.druid.pool.DruidDataSource
# mybatis指定xml位置
mybatis.mapper-locations=classpath:mapper/**/*Mapper.xml
# 加密配置
# 用sql()包裹密文
jasypt.encryptor.property.prefix=sqy(
jasypt.encryptor.property.suffix=)
# 自定的配置安全配置类
jasypt.encryptor.bean=CodeEncrypBean
当然这个加密的密钥还有其他的引入方式,但是小编感觉这种就很可以了
方式一:直接作为程序启动时的命令行参数来带入
方式二:直接作为程序启动时的应用环境变量来带入
方式三:甚至可以作为系统环境变量的方式来带入–最安全
四、完结
这个案例可以在小编的这篇springboot整合mybatis上面进行添加测试
地址 ==> sprongboot整合mybatis