SpringBoot 配置文件中的敏感信息如何保护?

最新推荐文章于 2023-01-30 14:42:26 发布
最新推荐文章于 2023-01-30 14:42:26 发布
阅读量190 收藏
点赞数
文章标签: sms 反编译 jdbc md5 svg 
说明使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。
打开application.properties或application.yml,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。
jasypt由一个国外大神写了一个springboot下的工具包,用来加密配置文件中的信息。
GitHub Demo地址
https://github.com/jeikerxiao/spring-boot2/tree/master/spring-boot-encrypt
数据用户名和数据库密码加密为例1. 引入包查看最新版本可以到:
https://github.com/ulisesbocchio/jasypt-spring-boot
<dependency>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-spring-boot-starter</artifactId>
        <version>2.1.0</version>
</dependency>
2. 配置加/解的密码# jasypt加密的密匙
jasypt:
  encryptor:
    password: Y6M9fAJQdU7jNp5MW
3. 测试用例中生成加密后的秘钥@RunWith(SpringRunner.class)
@SpringBootTest
public class DatabaseTest {

    @Autowired
    private StringEncryptor encryptor;

    @Test
    public void getPass() {
        String url = encryptor.encrypt("jdbc:mysql://localhost:3306/mydb?autoReconnect=true&serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=utf-8");
        String name = encryptor.encrypt("root");
        String password = encryptor.encrypt("123456");
        System.out.println("database url: " + url);
        System.out.println("database name: " + name);
        System.out.println("database password: " + password);
        Assert.assertTrue(url.length() > 0);
        Assert.assertTrue(name.length() > 0);
        Assert.assertTrue(password.length() > 0);
    }
}
下面是输出加密字符串:
搜索公众号编Java架构师技术后台回复“面试”,获取一份惊喜礼包。
database url: 6Ut7iADnHS18cManoFJuNRQ5QEDfcho/F96SOhsHZdXlHYCa5PSrz6rk48I9eHB7qPp5AxDFBk9xi0I1hi6BJ0DSPYA9443gBAk5JDUxDufjUKsdh6knZJLNELmFJzYrDvCu4S0x22MYdZqJDLbyDUU2JcoezCvs156vmsPgU4A=
database name: fmai72yGYKGlP6vTtX77EQ==
database password: GPMG7FGV+EA9iGkC27u67A==
4. 将加密后的字符串替换原明文applicatioin.yml
server:
  port: 8080
spring:
  # 数据库相关配置
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    # 这里加上后缀用来防止mysql乱码,serverTimezone=GMT%2b8设置时区
    url: ENC(h20YiPrvNnuuTGjlrE1RVpudMuIQAS6ZPSVo1SPiYVyLen7/TWI5rXVRkStA3MDcoVHQCmLa70wYU6Qo8wwtnsmaXa5jykD3MNhAp5SGJxHsTG5u7tflPdnNmOufyhdsYPxBGWAgibYs9R7yBfrvtwBTRbe096APd3bnG3++Yro=)
    username: ENC(sT6BztXbJEa71eg3pPGYMQ==)
    password: ENC(MpSZFJ9ftq+3+VUANZjr0Q==)
  jpa:
    hibernate:
      ddl-auto: update
    show-sql: true
  # 返回的api接口的配置,全局有效
  jackson:
   # 如果某一个字段为null,就不再返回这个字段
    default-property-inclusion: non_null
    date-format: yyyy-MM-dd HH:mm:ss
    serialization:
      write-dates-as-timestamps: false
    time-zone: GMT+8
# jasypt加密的密匙
jasypt:
  encryptor:
    password: Y6M9fAJQdU7jNp5MW
注意: 上面的 ENC() 是固定写法.
附言部署时配置salt(盐)值为了防止salt(盐)泄露,反解出密码.可以在项目部署的时候使用命令传入salt(盐)值:
java -jar xxx.jar  -Djasypt.encryptor.password=Y6M9fAJQdU7jNp5MW
或者在服务器的环境变量里配置,进一步提高安全性。学习资料:Java进阶视频资源
打开/etc/profile文件
vim /etc/profile
在profile文件末尾插入salt(盐)变量
export JASYPT_PASSWORD = Y6M9fAJQdU7jNp5MW
编译,使配置文件生效
source /etc/profile
运行
java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar
tesseract-ocr实现图片提取文字功能

IDEA 代码生成技巧

Spring Cloud组成剖析

JWT鉴权

Java中关于线程同步,你会用到的4个类

Spring Boot 中的Http接口调用只知道 RestTemplate?来试下 Retrofit !

MySQL中使用“utf8”的坑有多少人遇到过,下次注意记得用“utf8mb4”
独行侠梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot配置文件内容加密,实现敏感信息保护 - 第431篇
悟纤学院
06-20 408
Jasypt (Java Simplified Encryption) 是一个 java 库,它允许开发人员以最小的努力将基本的加密功能添加到他/她的项目,而无需深入了解密码学的工作原理。
如何保护 SpringBoot 配置文件敏感信息
良月柒
09-11 305
程序员的成长之路互联网/程序员/技术/资料共享关注阅读本文大概需要 2.8 分钟。来自:blog.csdn.net/jeikerxiao/article/details/96480136...
一个配置解决:spring.jackson.default-property-inclusion无效问题,因继承了WebMvcConfigurationSupport导致
A994681903的博客
06-07 1536
网上看了几篇,都没有自己想要的答案(一个一个类上加注解那种); 就自己摸索了一下源码,得到解决方案如下: 在WebMvcConfigurationSupport的子类下加入此方法即可 @Configuration public class SecurityConfig extends WebMvcConfigurationSupport { @Autowired private ApplicationContext applicationContext; @Override
关于Spring Boot Actuator漏洞补救方案
最新发布
qq_39712282的博客
01-30 9087
Springboot之Actuator信息泄露漏洞问题
使用springboot+mybatis拦截器实现身份证等生产敏感数据的加解密
TanzJ的博客
01-25 6643
在实际生产项目,经常需要对如身份证信息、手机号、真实姓名等的敏感数据进行加密数据库存储,但在业务代码敏感信息进行手动加解密则十分不优雅,甚至会存在错加密、漏加密、业务人员需要知道实际的加密规则等的情况。本文将介绍使用springboot+mybatis拦截器+自定义注解的形式对敏感数据进行存储前拦截加密的详细过程。 目录 一、什么是Mybatis Plugin 二、实现基于注解的敏...
SpringBootjackson日期格式化问题(SerializationFeature.WRITE_DATES_AS_TIMESTAMPS not turning off timestamps)
No8g攻城狮的博客
02-26 1万+
目录 1、异常信息 2、异常原因 3、解决方案 最近在做一个Springboot项目,间遇到一个问题就是日期的格式化,每次实体类的字段为Date类型时,从前端传到后台的时间格式老出错,属性字段上也加上@DateJsonFormat和@JsonFormat注解了,但还是不行,后台报错,,在MVC环境显示正常,到了springboot就由2019-03-06 06:14:32 变成了 ...
Springboot配置文件内容加密代码实例
08-25
Springboot配置文件内容加密代码实例是指在Springboot项目配置文件敏感信息进行加密,以保护项目的安全。以下是对该实例的详细介绍。 一、加密工具类的创建 在使用jasypt-spring-boot-starter进行加密之前,...
基于Jasypt对SpringBoot配置文件加密
08-25
使用Jasypt对SpringBoot配置文件进行加密,可以有效保护配置文件敏感信息不被非法获取。 首先,需要在项目的pom.xml文件加入Jasypt的依赖项。根据所提供的文件内容,可以发现引用了一个特定版本的Jasypt ...
SpringBoot配置文件数据库密码加密两种方案(推荐)
08-25
本文将介绍两种在SpringBoot配置文件对数据库密码进行加密的方法:使用Jasypt库进行加密和利用Druid数据连接池的内置加密功能。 **Jasypt加密** Jasypt是一个强大的Java加密库,易于集成到Spring Boot项目。...
springboot之yml配置文件信息加密.docx
03-01
将密钥与密文都放在配置文件里,如果配置文件泄露了,那么就可以通过密钥来实现解密,达不到保护敏感信息的目的,所以密钥不要放在配置文件。可以将密钥配置在启动项或者在启动项目时在命令行输入。 知识点 6: ...
Spring Boot框架敏感信息泄露的完整介绍与SRC实战(附专属字典与PoC)
qq_50854662的博客
10-04 7240
转载于:https://www.freebuf.com/vuls/289710.html #前言##Spring Boot框架介绍Spring框架功能很强大,但是就算是一个很简单的项目,我们也要配置很多东西。因此就有了Spring Boot框架,它的作用很简单,就是帮我们自动配置,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。Spring Boot框架的核心就是自动配置,只要存在相应的jar包,Spring就帮我们自动配置。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的
spring boot2.0.0 架构问题 时间处理 (映射,时区问题)
Juvenile_xf
05-07 2696
在application.properties添加 spring.jackson.serialization.write-dates-as-timestamps= true 在bootstrap.yml添加 spring jackson: default-property-inclusion: NON_NULL #date-format: yyyy-MM-dd...
springboot 2.0 配置时间格式化不生效问题
风清云淡
12-07 2万+
&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;&amp;nbsp;在开发日期最常打交道的东西之一,但是日期又会存在各式各样的格式,常见的情形就是,从数据库取出的日期往往都是时间戳(毫秒数)的形式,这个一般情况下是前端不想要的结果,需要进行处理,那在springboot比较简单: pom.xml添加依赖 &amp;lt;!--
jackson annotations注解详解
热门推荐
清风抚白杨
11-18 19万+
jackson 1.x和2.x版本的注解是放置在不同的包下的 1
SpringBoot配置文件敏感信息加密
晏霖/胖虎的博客
06-12 7450
前言 SpringBoot配置文件的内容通常情况下是明文显示,安全性就比较低一些。在application.properties或application.yml,比如mysql登陆密码,redis登陆密码以及第三方的密钥等等一览无余,这次是公安部和一些其他安全部门扫描我们代码前我们自己做整改,这里介绍一个加解密组件,提高一些属性配置的安全性。jasypt由一个国外大神写了一个springboo...
springBoot如何给敏感数据脱敏
xiayz的博客
06-22 4620
在实际开发的过程,我们可能会遇到一些敏感数据,但是用户又不希望这些敏感数据全部展示出来,所以这个时候就需要对数据进行脱敏处理解决思路:新建一个注解了标签,用在实体类字段,实现再查询数据时将数据替换成处理好的数据 2.新建脱敏操作的工具类 3. 申明注解类 4.注解的AOP操作 5.实际使用 对数据进行脱敏操作,总结就是使用AOP对数据进行拦截操作,在给对象赋值时进行数据操作...
java 接口加密_SpringBoot接口加密解密统一处理
weixin_33235339的博客
02-12 1940
我们与客户端的接口交互,为了更高的安全性,我们可能需要对接口加密(请求参数加密,服务端解密)、返回信息加密(服务端加密,客户端解密),但是也不是所有的接口都这样,有些接口可能不需要,我们可以使用注解来轻松达到此要求。将接口参数的加密解密和返回信息的加密解密分开,分别定义注解,利用Controller的ControllerAdvice来拦截所有的请求,在其判断是否需要加密解密,即可达到要求。使用...
Spring boot带来的信息泄露
就是我的博客
05-05 1万+
一、什么是Actuator Spring Boot Actuators 模块端点信息官方文档: Spring Boot Actuator Web API Documentation Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的..
SpringBoot配置文件信息使用Jasypt加密增强安全
通过以上配置,Spring Boot 应用程序在处理YAML配置文件敏感信息时,实现了更高的安全性,有效保护了关键数据。在开发和部署过程,遵循最佳实践,持续关注安全更新,是确保数据安全的关键。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值