加密Web项目中配置文件中的密码

最新推荐文章于 2024-05-13 14:32:45 发布
最新推荐文章于 2024-05-13 14:32:45 发布
阅读量684 收藏 1
点赞数 1
分类专栏: JAVA spring 文章标签: properties加密
JAVA 同时被 2 个专栏收录
48 篇文章 0 订阅
订阅专栏
spring
14 篇文章 0 订阅
订阅专栏
我们使用的项目经常是这个样子的: 
<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"  
    destroy-method="close"   
    p:driverClassName="oracle.jdbc.driver.OracleDriver"  
    p:url="jdbc:oracle:thin:@127.0.0.1:1523:orcl"   
    p:username="czw"  
    p:password="czw" />

这里会有一个致命的问题,如果有一个具备中间件服务器机器访问权限的人,看到了这个例如applicationContext.xml的文件,并且打开该文件,智商再低下的人也会知道数据库的用户名和密码是什么。这对于对安全有一定要求的行业是必须杜绝的,这个也是在一般技术面试中会问到的一个问题。那就让我们继续往下,解答这个问题吧!

首先,我们需要将配置文件抽取到property中来: 
<bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer"  
    p:location="classpath:jdbc.properties"  
    p:fileEncoding="utf-8"  
    />  
      
<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource"  
    destroy-method="close"   
    p:driverClassName="${driverClassName}"  
    p:url="${url}"   
    p:username="${userName}"  
    p:password="${password}" />

将上面的第一个代码修改为第二个代码,第一个类是负责抓取jdbc.properties中的属性并且填充到dataSource当中来,这样,我们就可以将所有的注意力都集中在jdbc.properties上了。

下面的问题是,如何将jdbc.properties变成一个看不明白的字符呢?我们只需要扩展PropertyPlaceholderConfigurer父类PropertyResourceConfigurer的解密方法convertProperty就可以了: 
package com.cardDemo.commonUtil;  
  
import org.springframework.beans.factory.config.PropertyPlaceholderConfigurer;  
  
public class ConvertPwdPropertyConfigurer extends PropertyPlaceholderConfigurer{  
    @Override  
    protected String convertProperty(String propertyName, String propertyValue) {  
        System.out.println("=================="+propertyName+":"+propertyValue);  
        if("userName".equals(propertyName)){  
            return "czw";  
        }  
        if("password".equals(propertyName)){  
            return "czw";  
        }  
        return propertyValue;  
    }  
}


然后将上面完成的类替换配置文件中的PropertyPlaceholderConfigurer: 
<bean class="com.cardDemo.commonUtil.ConvertPwdPropertyConfigurer"  
    p:location="classpath:jdbc.properties"  
    p:fileEncoding="utf-8"  
    />

事实上,在我刚刚的Demo项目当中,里面的jdbc.properties里面的文件是如下内容的: 
driverClassName=oracle.jdbc.driver.OracleDriver  
url=jdbc:oracle:thin:@127.0.0.1:1523:orcl  
userName=someOneElseUnknowUserName  
password=somePwdElseUnknowPassowrd

而实际上,真实的密码却是czw/czw,web程序运行的时候,显示如下的内容:

2013-8-31 13:26:12 org.apache.catalina.core.StandardEngine start
信息: Starting Servlet Engine: Apache Tomcat/6.0.18
2013-8-31 13:26:14 org.apache.catalina.core.ApplicationContext log
信息: Initializing Spring root WebApplicationContext
==================url:jdbc:oracle:thin:@127.0.0.1:1523:orcl
==================password:somePwdElseUnknowPassowrd
==================driverClassName:oracle.jdbc.driver.OracleDriver
==================userName:someOneElseUnknowUserName
2013-8-31 13:26:17 org.apache.catalina.core.ApplicationContext log
信息: Initializing Spring FrameworkServlet 'cardDemo'
2013-8-31 13:26:18 org.apache.coyote.http11.Http11Protocol start
信息: Starting Coyote HTTP/1.1 on http-8080
2013-8-31 13:26:18 org.apache.jk.common.ChannelSocket init
信息: JK: ajp13 listening on /0.0.0.0:8009

但是,在DATASOURCE里面获取到的内容,却是替换之后的正确的用户名和密码。这只是一个非常简单的例子,只是告诉我们一个解决数据库用户名和密码加密的一个渠道,比如,我们可以在PropertyPlaceholderConfigurer子类中写一些比较复杂的逻辑,比如根据jdbc.properties中配置的文件中进行各种手段的加密。在其中通过其他手段替换jdbc.propertes中的用户名和密码等等。


cnsu-cmh
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jdbc配置文件密码加密
qq_38537620的博客
03-14 1815
依赖的jar包有javabase64 1、c3p0连接 jdbc.properties文件 c3p0.driverClass=oracle.jdbc.driver.OracleDriver c3p0.jdbcUrl=jdbc:oracle:thin:@192.168.16.22:1521:orcl c3p0.user=vrms ...
jdbc用MD5对密码进行加密 完整
02-23
密码转化成用MD5算法计算成的字符串,包括jsp页面,算法,数据库链接等内容
面试常见问题:如何加密Web项目配置文件密码
热门推荐
似水流年
08-31 1万+
我们使用的项目经常是这个样子的: <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close" p:driverClassName="oracle.jdbc.driver.OracleDriver" p:url="jdbc:oracle:thin:@127.0.0.
Springboot-配置文件敏感信息的加密:三种加密保护方法比较
最新发布
乙壳虫的博客
05-13 4316
在Spring Boot应用,数据库密码、Redis密钥等敏感信息的保护至关重要。本文详细介绍了如何使用AES加密算法对这类关键配置进行加密处理,确保它们不会被轻易泄露。通过实现EnvironmentPostProcessor接口,我们可以在应用启动时自动解密这些配置,从而保证应用能够安全地使用这些敏感数据,同时大大降低了信息泄露的风险。这种方法为开发者提供了一种实用且高效的安全策略,以应对日益严峻的信息安全问题。
Web项目配置文件密码进行加密(数据库连接密码
Glitter的博客
10-30 2940
Web项目的如配置文件applicationContext.xml文件,如数据库连接的用户密码信息的加密。 我们平时直接写的项目配置是这样的: <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close" p:
Spring 的.properties 属性(jdbc.password)加密
h_wfeng的博客
12-28 1213
    1、复写processProperties方法实现    package com.*.*; import java.util.Properties; import org.springframework.beans.BeansException; import org.springframework.beans.factory.config.Configurable...
C#为配置文件加密的实现方法
12-31
本文实例讲述了C#为配置文件加密的实现方法,分享给大家供大家参考。具体实现方法如下: 一般来说,在web.config或app.config文件里我们经常会存储一些敏感信息,比如connectionStrings或者appSettings,比如像下面...
druid对配置文件的数据库密码加密
04-07
5. **配置加密密码**:在Druid的配置文件(如`druid.properties`或`application.yml`),使用公钥对原始密码进行加密,并将加密后的密码(例如`password:fyW65KGy1XwBAYE6cQE0oZWUJ0EdOe+/u7gqypTvSgYKOAH1HQ61...
web应用数据库密码加密
03-02
然后,在Spring Boot的配置文件(如`application.yml`或`application.properties`),设置加密密码(`jasypt.encryptor.password`),并使用`ENC()`函数将数据库密码加密。 3. **加密与解密流程** 加密过程通常...
加密Web.Config的ConnectionString
04-07
标题“加密Web.Config的ConnectionString”涉及的是在ASP.NET应用程序保护敏感信息,特别是数据库连接字符串的安全问题。在Web.Config文件,ConnectionString用于存储应用程序访问数据库的详细信息,如服务器...
phpmyadmin配置文件现在需要绝密的短语密码的解决方法
12-17
如果你遇到“配置文件现在需要绝密的短语密码(blowfish_secret)”的错误,说明你的`config.inc.php`配置文件缺少了这个参数或者设置为空。解决这个问题的方法如下: 1. 打开PHPMyAdmin的配置文件`config.inc.php`...
Jeesite框架取jeesite.properties配置文件里的数据库地址(jdbc.url)、用户名(jdbc.username)、数据库密码(jdbc.password)
qq_39218641的博客
05-21 1115
Python连接mysql密码用密文_druid配置数据库连接使用密文密码
weixin_30187777的博客
02-11 443
spring使用druid配置dataSource片段代码dataSource配置 jdbc.properties## JDBC setjdbc.url=jdbc\:mysql\://localhost\:3306/edu_demo?useUnicode\=true&characterEncoding\=utf-8jdbc.username=rootjdbc.password=Obsbr...
mysql数据库druid密码加密_druid配置数据库连接使用密文密码
weixin_31321851的博客
01-28 150
示例spring使用druid配置dataSource片段代码dataSource配置jdbc.properties## JDBC setjdbc.url=jdbc\:mysql\://localhost\:3306/edu_demo?useUnicode\=true&characterEncoding\=utf-8jdbc.username=rootjdbc.password=Obsbr...
修改DataSource访问的数据源 对用户名和密码进行加密
weixin_33924770的博客
11-05 3075
2019独角兽企业重金招聘Python工程师标准>>> ...
java web 项目配置文件属性加密
静下心来写代码
10-25 714
1.未加密 config.properties配置 mail.host=192.168.0.100 mail.username=email_username mail.password=email_password mail.smtp.auth=true mail.smtp.timeout=15000 mail.smtp.port=25 spring-context.xml <!...
java配置文件密码加密解密_Java-从配置文件加密/解密用户名和密码
weixin_42509803的博客
02-16 1061
小编典典在Intranet上当然不能证明消除安全性是合理的。对信息造成的大多数损害是内部人员造成的。查看受保护内容的价值,并适当考虑安全性。听起来好像有一个第三方应用程序,您拥有一个第三方凭据,并且某些客户端在使用第三方应用程序时可以有效地共享此身份。如果是这样,我建议采用以下方法。请勿在您的Web服务器之外分发第三方密码。最安全的方法是以交互方式将其提供给Web应用程序。可以是ServletCo...
旧项目配置的jdbc.password不知道在哪里解密的
w820896059的专栏
09-05 978
旧项目配置的jdbc.password不知道在哪里解密的,将密文删掉一个字母,让它报出错误栈,如图: 很明显spring的源码类PropertyResourceConfigurer.java调用了项目的继承类MPropertyPlaceholderConfigurer.java public class MPropertyPlaceholderConfigurer extends...
JDBC基础连接(代码)
qq_32004911的博客
09-07 261
JDBC:java DataBase Connectivity(java数据库连接)。 第一步:创建实体类(User)。代码如下: package com.jkx.po; public class User { private int userId; private String username; private String password; private int s
怎么对web配置文件进行安全加固
03-08
对于web配置文件进行安全加固,可以采取以下措施: 1. 删除不必要的注释和空格,减少攻击者利用注释和空格注入恶意代码的可能性。 2. 禁止目录浏览,避免攻击者通过目录浏览获取敏感信息。 3. 配置HTTPS协议,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值