使用durid的ConfigFilter对数据库密码加密

对于大部分程序员来说，数据库的信息，如用户名，密码等信息一般都写到配置文件中，便于修改和维护，然而这对于运维安全来说确实一个很大的挑战，如果黑客进入到你的系统里面去，那这些数据库用户名和密码就一目了然，这个是很不安全的。Druid为此提供一种数据库密码加密的手段ConfigFilter，使用他加密数据库密码，即使别人拿到了数据库连接密码，破解这个密码也得稍稍花点时间了，也对咱们的网站安全性提高了一些。

好了，废话少说，配置一下也是很简单的啦！

第一步： 
执行druid的命令加密数据库密码 
命令： 
java -cp druid-0.2.23.jar com.alibaba.druid.filter.config.ConfigTools xxxxxx

举个栗子：

命令：
1: D:\>java -cp druid-1.0.15.jar com.alibaba.druid.filter.config.ConfigTools 123456
2: 输出：
3: Biyu5YzU+6sxDRbmWEa3B2uUcImzDo0BuXjTlL505+/pTb+/0Oqd3ou1R6J8+9Fy3CYrM18nBDqf6wAaPgUGOg==
4: 输出的结果就是加密后的密码啦！xxxxxx为你的数据库密码明文。

第二步： 
配置数据源，使用Druid配置数据源对数据库密码进行解密。

<!-- Druid JNDI DataSource for J2EE environments -->
<bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource" init-method="init" destroy-method="close">
    <property name="url" value="${jdbcUrl}" />
    <property name="username" value="${username}" />
    <property name="password" value="${password}" />
    <!-- 配置初始化大小、最小、最大 -->
    <property name="initialSize" value="5" />
    <property name="minIdle" value="5" />
    <property name="maxActive" value="20" />
    <!-- 配置获取连接等待超时的时间 -->
    <property name="maxWait" value="60000" />
    <!-- 配置间隔多久才进行一次检测，检测需要关闭的空闲连接，单位是毫秒 -->
    <property name="timeBetweenEvictionRunsMillis" value="3000" />
    <!-- 配置一个连接在池中最小生存的时间，单位是毫秒 -->
    <property name="minEvictableIdleTimeMillis" value="300000" />

    <property name="validationQuery" value="SELECT 'x' FROM DUAL" />
    <property name="testWhileIdle" value="true" />
    <property name="testOnBorrow" value="false" />
    <property name="testOnReturn" value="false" />

    <!--打开PSCache，并且指定每个连接上PSCache的大小 ，Oracle，把poolPreparedStatements配置为true，mysql可以配置为false。分库分表较多的数据库，建议配置为false-->
    <!--<property name="poolPreparedStatements" value="true" />-->
    <!--<property name="maxPoolPreparedStatementPerConnectionSize" value="20" />-->

    <!-- 开启Druid的监控统计功能 -->
    <property name="filters" value="stat,config" />
    <!-- 开启数据库密码解密-->
    <property name="connectionProperties" value="config.decrypt=true" />            
</bean> 

说明：这个数据源配置跟上一篇的配置大致相同，唯一的区别就是增加了开启数据库密码解密功能。name=”connectionProperties” value=”config.decrypt=true”,这个就是配置druid进行数据库密码解密。 
值得注意的是：property name=”filters” value=”stat,config”这里面可以配置多个filter，除了上一次监控统计的stat，这次解密我们需要添加config。

经过简单的配置，这样配置文件里面的密码加密之后，有可以连接到数据库啦！

当然，使用ConfigFilter解密密码，有三种方式配置： 
1) 可以在配置文件my.properties中指定config.decrypt=true 
2) 也可以在DruidDataSource的ConnectionProperties中指定config.decrypt=true 
3) 也可以在jvm启动参数中指定-Ddruid.config.decrypt=true

ConfigFilter不仅仅可以进行数据库加密，还可以支持配置文件从本地文件系统中读取，从远程http文件中读取配置操作，大家可以试试看!

参考连接：Druid ConfigFilter配置