加密jdbc配置文件中的用户名密码

最新推荐文章于 2023-04-16 22:27:28 发布
最新推荐文章于 2023-04-16 22:27:28 发布
阅读量1w 收藏 9
点赞数
分类专栏: hibernate
我们使用的项目经常是这个样子的:
[html] view plain copy print ?
  1. <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"  
  2.     destroy-method="close"   
  3.     p:driverClassName="oracle.jdbc.driver.OracleDriver"  
  4.     p:url="jdbc:oracle:thin:@127.0.0.1:1523:orcl"   
  5.     p:username="czw"  
  6.     p:password="czw" />  
<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"
	destroy-method="close" 
	p:driverClassName="oracle.jdbc.driver.OracleDriver"
	p:url="jdbc:oracle:thin:@127.0.0.1:1523:orcl" 
	p:username="czw"
	p:password="czw" />


这里会有一个致命的问题,如果有一个具备中间件服务器机器访问权限的人,看到了这个例如applicationContext.xml的文件,并且打开该文件,智商再低下的人也会知道数据库的用户名和密码是什么。这对于对安全有一定要求的行业是必须杜绝的,这个也是在一般技术面试中会问到的一个问题。那就让我们继续往下,解答这个问题吧!

首先,我们需要将配置文件抽取到property中来:
[html] view plain copy print ?
  1. <bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"  
  2.     p:location="classpath:jdbc.properties"  
  3.     p:fileEncoding="utf-8"  
  4.     />  
  5.       
  6. <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"  
  7.     destroy-method="close"   
  8.     p:driverClassName="${driverClassName}"  
  9.     p:url="${url}"   
  10.     p:username="${userName}"  
  11.     p:password="${password}" />  
<bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"
  	p:location="classpath:jdbc.properties"
  	p:fileEncoding="utf-8"
  	/>
  	
<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"
	destroy-method="close" 
	p:driverClassName="${driverClassName}"
	p:url="${url}" 
	p:username="${userName}"
	p:password="${password}" />


将上面的第一个代码修改为第二个代码,第一个类是负责抓取jdbc.properties中的属性并且填充到dataSource当中来,这样,我们就可以将所有的注意力都集中在jdbc.properties上了。

下面的问题是,如何将jdbc.properties变成一个看不明白的字符呢?我们只需要扩展PropertyPlaceholderConfigurer父类PropertyResourceConfigurer的解密方法convertProperty就可以了:

[html] view plain copy print ?
  1. package com.cardDemo.commonUtil;  
  2.   
  3. import org.springframework.beans.factory.config.PropertyPlaceholderConfigurer;  
  4.   
  5. public class ConvertPwdPropertyConfigurer extends PropertyPlaceholderConfigurer{  
  6.     @Override  
  7.     protected String convertProperty(String propertyName, String propertyValue) {  
  8.         System.out.println("=================="+propertyName+":"+propertyValue);  
  9.         if("userName".equals(propertyName)){  
  10.             return "czw";  
  11.         }  
  12.         if("password".equals(propertyName)){  
  13.             return "czw";  
  14.         }  
  15.         return propertyValue;  
  16.     }  
  17. }  
package com.cardDemo.commonUtil;

import org.springframework.beans.factory.config.PropertyPlaceholderConfigurer;

public class ConvertPwdPropertyConfigurer extends PropertyPlaceholderConfigurer{
	@Override
	protected String convertProperty(String propertyName, String propertyValue) {
		System.out.println("=================="+propertyName+":"+propertyValue);
		if("userName".equals(propertyName)){
			return "czw";
		}
		if("password".equals(propertyName)){
			return "czw";
		}
		return propertyValue;
	}
}


然后将上面完成的类替换配置文件中的PropertyPlaceholderConfigurer:

[html] view plain copy print ?
  1. <bean class="com.cardDemo.commonUtil.ConvertPwdPropertyConfigurer"  
  2.     p:location="classpath:jdbc.properties"  
  3.     p:fileEncoding="utf-8"  
  4.     />  
<bean class="com.cardDemo.commonUtil.ConvertPwdPropertyConfigurer"
	p:location="classpath:jdbc.properties"
	p:fileEncoding="utf-8"
	/>



事实上,在我刚刚的Demo项目当中,里面的jdbc.properties里面的文件是如下内容的:

[java] view plain copy print ?
  1. driverClassName=oracle.jdbc.driver.OracleDriver  
  2. url=jdbc:oracle:thin:@127.0.0.1:1523:orcl  
  3. userName=someOneElseUnknowUserName  
  4. password=somePwdElseUnknowPassowrd  
driverClassName=oracle.jdbc.driver.OracleDriver
url=jdbc:oracle:thin:@127.0.0.1:1523:orcl
userName=someOneElseUnknowUserName
password=somePwdElseUnknowPassowrd



而实际上,真实的密码却是czw/czw,web程序运行的时候,显示如下的内容:

2013-8-31 13:26:12 org.apache.catalina.core.StandardEngine start
信息: Starting Servlet Engine: Apache Tomcat/6.0.18
2013-8-31 13:26:14 org.apache.catalina.core.ApplicationContext log
信息: Initializing Spring root WebApplicationContext
==================url:jdbc:oracle:thin:@127.0.0.1:1523:orcl
==================password:somePwdElseUnknowPassowrd
==================driverClassName:oracle.jdbc.driver.OracleDriver
==================userName:someOneElseUnknowUserName
2013-8-31 13:26:17 org.apache.catalina.core.ApplicationContext log
信息: Initializing Spring FrameworkServlet 'cardDemo'
2013-8-31 13:26:18 org.apache.coyote.http11.Http11Protocol start
信息: Starting Coyote HTTP/1.1 on http-8080
2013-8-31 13:26:18 org.apache.jk.common.ChannelSocket init
信息: JK: ajp13 listening on /0.0.0.0:8009

但是,在DATASOURCE里面获取到的内容,却是替换之后的正确的用户名和密码。这只是一个非常简单的例子,只是告诉我们一个解决数据库用户名和密码加密的一个渠道,比如,我们可以在PropertyPlaceholderConfigurer子类中写一些比较复杂的逻辑,比如根据jdbc.properties中配置的文件中进行各种手段的加密。在其中通过其他手段替换jdbc.propertes中的用户名和密码等等。

作者 陈字文(热衷于PM\ORACLE\JAVA等,欢迎同行交流)EMAIL:ziwen@163.com  QQ:409020100

如果有技术面试官再问到你,怎么隐藏在配置文件中的用户名和密码的时候,希望能够说出这个思路,如果能够提到PropertyPlaceholderConfigurer的子类中的convertProperty方法的话,就更加出彩了。

明潮
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java连接数据库密码错误_如果密码有特殊字符,则无法使用JDBC连接到oracle数据库...
weixin_39590472的博客
02-26 1423
以下是代码::public class OraclePwdTest {static{try {Class.forName("oracle.jdbc.OracleDriver");} catch (ClassNotFoundException e) {e.printStackTrace();}}public static void main(String[] args) {// TODO Auto-...
oracle jdbc用户名密码加密,加密JDBC配置文件的用户密码
weixin_27076351的博客
04-04 1917
项目使用JDBC连接数据库,一般配置如下:p:driverClassName="oracle.jdbc.driver.OracleDriver"p:url="jdbc:oracle:thin:@127.0.0.1:1521:orcl"p:username="test"p:password="test" />如果有用户这台服务器访问权限(比如root),就可以看到这个applicationC...
spring applicationContext 配置文件
11-15
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p" xmlns:context="http://www.springframework.org/schema/context" xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-2.5.xsd http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-2.0.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-2.0.xsd"> <description>Spring公共配置文件</description> <!-- mes 的數據庫 --> <bean id="dataSource" class="com.mchange.v2.c3p0.ComboPooledDataSource" destroy-method="close"> <property name="driverClass" value="oracle.jdbc.driver.OracleDriver"/> <property name="jdbcUrl" value="jdbc:oracle:thin:@10.142.252.132:1521:mestest"/> <property name="maxPoolSize" value="10"></property> <property name="maxIdleTime" value="1800"></property> <property name="minPoolSize" value="1"></property> <property name="initialPoolSize" value="1"></property> <property name="properties"> <ref bean="mesDatasourcePropertiesFactory" /> </property> </bean> <!-- c3p0数据源的一个专有属性,只可以存放密码用户名 --> <bean id="mesDatasourcePropertiesFactory" class="com.ccc.db.impl.DatasourcePropertiesFactory" factory-method="getProperties"> <!-- userName--> <constructor-arg type="java.lang.String"> <value>jxg/Qr4VbxU=</value> </constructor-arg> <!-- password --> <constructor-arg type="java.lang.String"> <value>jxg/Qr4VbxU=</value> </constructor-arg> <!-- 生产环境模式 ,才特殊处理加密密码--> <constructor-arg type="java.lang.String"> <value>true</value> </constructor-arg> </bean> <!-- ptc windchill的數據庫 --> <bean id="dataSourcePdm" class="com.mchange.v2.c3p0.ComboPooledDataSource" destroy-method="close"> <property name="driverClass" value="oracle.jdbc.driver.OracleDriver"/> <property name="jdbcUrl" value="jdbc:oracle:thin:@10.142.252.132:1521:mesdev"/> <property name="maxPoolSize" value="10"></property> <property name="maxIdleTime" value="1800"></property> <property name="minPoolSize" value="1"></property> <property name="initialPoolSize" value="1"></property> <property name="properties"> <ref bean="ptcDatasourcePropertiesFactory" /> </property> </bean> <!-- c3p0数据源的一个专有属性,只可以存放密码用户名 --> <bean id="ptcDatasourcePropertiesFactory" class="com.ccc.db.impl.DatasourcePropertiesFactory" factory-method="getProperties"> <!-- userName--> <constructor-arg type="java.lang.String"> <value>WgDH/SDIJfs=</value> </constructor-arg> <!-- password --> <constructor-arg type="java.lang.String"> <value>WgDH/SDIJfs=</value> </constructor-arg> <!-- 生产环境模式 ,才特殊处理加密密码--> <constructor-arg type="java.lang.String"> <value>true</value> </constructor-arg> </bean> <!-- mes數據源代理 --> <bean id="dataSourceProxy" class="org.springframework.jdbc.datasource.TransactionAwareDataSourceProxy" p:targetDataSource-ref="dataSource"/> <!-- 对web包的所有类进行扫描,以完成Bean创建和自动依赖注入的功能--> <context:component-scan base-package="com.ccc"/> <bean class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping" p:order="0" /> <!-- 配置事务管理器 針對MES數據庫--> <bean id="transactionManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager " p:dataSource-ref="dataSourceProxy"/> <!-- 配置事务的传播特性 --> <tx:advice id="txAdvice" transaction-manager="transactionManager"> <tx:attributes> <tx:method name="add*" propagation="REQUIRED"/> <tx:method name="insert*" propagation="REQUIRED"/> <tx:method name="delete*" propagation="REQUIRED"/> <tx:method name="update*" propagation="REQUIRED"/> <tx:method name="*" read-only="true"/> </tx:attributes> </tx:advice> <!-- 那些类的哪些方法参与事务 --> <aop:config> <aop:pointcut id="allManagerMethod" expression="execution(* com.ccc..*.*(..))"/> <aop:advisor pointcut-ref="allManagerMethod" advice-ref="txAdvice"/> </aop:config> <!-- 配置事务管理器,這個事務性是爭對pdm數據庫的 --> <bean id="transactionManagerPdm" class="org.springframework.jdbc.datasource.DataSourceTransactionManager " p:dataSource-ref="dataSourcePdm"/> <!-- 配置事务的传播特性 --> <tx:advice id="txAdvicePdm" transaction-manager="transactionManagerPdm"> <tx:attributes> <tx:method name="add*" propagation="REQUIRED"/> <tx:method name="insert*" propagation="REQUIRED"/> <tx:method name="delete*" propagation="REQUIRED"/> <tx:method name="update*" propagation="REQUIRED"/> <tx:method name="*" read-only="true"/> </tx:attributes> </tx:advice> <!-- 那些类的哪些方法参与事务 --> <aop:config> <aop:pointcut id="allManagerMethodPdm" expression="execution(* com.ccc.pdm..*.*(..))"/> <aop:advisor pointcut-ref="allManagerMethodPdm" advice-ref="txAdvicePdm"/> </aop:config> <!-- ibatis插件 --> <bean id="sqlMapClient" class="org.springframework.orm.ibatis.SqlMapClientFactoryBean" p:dataSource-ref="dataSourceProxy"> <property name="configLocation"> <value>classpath:SqlMapConfig.xml</value> </property> </bean> <bean id="sqlMapClientTemplate" class="org.springframework.orm.ibatis.SqlMapClientTemplate"> <property name="sqlMapClient"> <ref bean="sqlMapClient" /> </property> </bean> <!-- 配置要拦截的url,防止2次提交或做其他數據統計用 <bean id="doubleSubmitInterceptor" class="com.ccc.filter.DoubleSubmitInterceptor"> <property name="mappingURL" value=".html" /> <property name="viewURL" value=".html" /> </bean> <bean class="org.springframework.web.servlet.mvc.annotation.DefaultAnnotationHandlerMapping" p:order="0"> <property name="interceptors"> <list> <ref bean="doubleSubmitInterceptor"/> </list> </property> </bean> --> <!-- JDBC template注入及事務配置 --> <bean id="jdbcTemplate" class="org.springframework.jdbc.core.JdbcTemplate"> <property name="dataSource"><ref bean="dataSourceProxy"/></property> </bean> </beans>
面试常见问题:如何加密Web项目配置文件密码
热门推荐
似水流年
08-31 1万+
我们使用的项目经常是这个样子的: <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close" p:driverClassName="oracle.jdbc.driver.OracleDriver" p:url="jdbc:oracle:thin:@127.0.0.
JDBC
m0_71467744的博客
08-31 533
(1)JDBC(Java Database Connectivity)是一个独立于特定数据库管理系统、通用的SQL数据库存取和操作的公共接口(一组API),定义了用来访问数据库的标准Java类库,(java.sql,javax.sql)使用这些类库可以以一种标准的方法、方便地访问数据库资源。大多数情况下,特别是企业级应用,**数据持久化意味着将内存的数据保存到硬盘**上加以”固化”**,而持久化的实现过程大多通过各种关系数据库来完成**。(1)数据库连接池的基本思想:就是为数据库连接建立一个“缓冲池”。.
使用shiro对数据库密码进行加密存储(java+springboot+shiro)
jakelihua
04-16 1514
shiro加盐,加密,数据库加密存储
Java连接MySQL数据库技术JDBC
丶Jan
06-21 582
一、JDBC概述 JDBC:Java DataBase Connectivity,java动态数据库连接技术是一种用于执行SQL语句的Java API。JDBC可以有多套实现类,例如:Mysql、Oracle、SqlServer等数据库。JDBC需要连接驱动,驱动是两个设备要进行通信,满足一定通信数据格式,数据格式由设备提供商规定,设备提供商为设备提供驱动软件,通过软件可以与该设备进行通信。例如mysql-connector-java-5.1.6.jar 1、JDBC与数据库驱动 JDBC与数据库驱动
一次JDBC连接泄露问题的排查过程总结
Viking的博客
09-10 3480
面试:你懂什么是分布式系统吗?Redis分布式锁都不会?>>> 当前使用的Spring JDBC版本是5.0.0.RC1,HikariCP版本是3.1.0。 今天测试同学反馈在前端页面点击次数多了,就报500错误,数据显示不出来。于是我在后台服务日志观察发现HikariCP连接池报如下的错误: getDataByWorkSheetId method Excep...
修改DataSource访问的数据源 对用户名密码进行加密
weixin_33924770的博客
11-05 3046
2019独角兽企业重金招聘Python工程师标准>>> ...
Java代码配置文件加密的问题
weixin_73660538的博客
04-11 1560
关于springboot配置文件加密的使用
java jdk-api-1.6 文 chmd
03-22
javax.security.auth.callback 此包提供与应用程序进行交互所必需的类,以便检索信息(例如,包括用户名密码的验证数据)或显示信息(例如,错误和警告消息)。 javax.security.auth.kerberos 此包包含与 ...
JAVA_API1.6文档(文)
05-28
javax.security.auth.callback 此包提供与应用程序进行交互所必需的类,以便检索信息(例如,包括用户名密码的验证数据)或显示信息(例如,错误和警告消息)。 javax.security.auth.kerberos 此包包含与 ...
MySQL 5.1官方简体文参考手册
07-02
5.2.4. MySQL实例管理器配置文件 5.2.5. MySQL实例管理器识别的命令 5.3. mysqld:MySQL服务器 5.3.1. mysqld命令行选项 http://doc.mysql.cn/mysql5/refman-5.1-zh.html-chapter/(第 4/24 页)2006-11-02 19:12:...
c语言涂格子游戏源码.rar
04-22
c语言涂格子游戏源码.rar
node-v18.14.2-linux-armv7l.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
C++ 实现全连接神经网络及矩阵头文件 及技术指导
04-22
矩阵头文件
node-v14.7.0-darwin-x64.tar.xz
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
node-v16.6.0-linux-s390x.tar.xz
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
2020届软件工程本科毕业生毕业设计项目.zip
04-22
2020届软件工程本科毕业生毕业设计项目
hive jdbc 添加用户名密码
05-20
使用JDBC连接Hive时,你可以通过在URL添加用户名密码来实现身份验证。以下是一个示例: ``` String url = "jdbc:hive2://localhost:10000/default;user=myusername;password=mypassword"; Connection conn = DriverManager.getConnection(url); ``` 在这个示例,`user`和`password`参数分别指定了用户名密码。你需要将它们替换为你自己的用户名密码。 请注意,这种方式并不安全,因为URL包含了明文密码。在生产环境,你应该使用更安全的方式来管理密码,例如使用加密配置文件或环境变量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值