java中怎么关闭输入密码_加密配置文件中的密码？ [关闭]

问题

我有一个程序从配置文件中读取服务器信息，并希望加密该配置中的密码，该密码可由我的程序读取并解密。

质量要求：

加密要存储在文件中的明文密码

从我的程序中解密从文件中读入的加密密码

关于我将如何做到这一点的任何建议？我正在考虑编写自己的算法，但我觉得它会非常不安全。

#1 热门回答(152 赞)

一种简单的方法是在Java中使用基于密码的加密。这允许你使用密码加密和解密文本。

这基本上意味着使用算法"AES/CBC/PKCS5Padding"初始化ajavax.crypto.Cipher并使用"PBKDF2WithHmacSHA512"算法从236369387获得密钥。

这是一个代码示例(更新以替换不太安全的基于MD5的变体)：

import java.io.IOException;

import java.io.UnsupportedEncodingException;

import java.security.AlgorithmParameters;

import java.security.GeneralSecurityException;

import java.security.NoSuchAlgorithmException;

import java.security.spec.InvalidKeySpecException;

import java.util.Base64;

import javax.crypto.Cipher;

import javax.crypto.SecretKey;

import javax.crypto.SecretKeyFactory;

import javax.crypto.spec.IvParameterSpec;

import javax.crypto.spec.PBEKeySpec;

import javax.crypto.spec.SecretKeySpec;

public class ProtectedConfigFile {

public static void main(String[] args) throws Exception {

String password = System.getProperty("password");

if (password == null) {

throw new IllegalArgumentException("Run with -Dpassword=");

}

// The salt (probably) can be stored along with the encrypted data

byte[] salt = new String("12345678").getBytes();

// Decreasing this speeds down startup time and can be useful during testing, but it also makes it easier for brute force attackers

int iterationCount = 40000;

// Other values give me java.security.InvalidKeyException: Illegal key size or default parameters

int keyLength = 128;

SecretKeySpec key = createSecretKey(password.toCharArray(),

salt, iterationCount, keyLength);

String originalPassword = "secret";

System.out.println("Original password: " + originalPassword);

String encryptedPassword = encrypt(originalPassword, key);

System.out.println("Encrypted password: " + encryptedPassword);

String decryptedPassword = decrypt(encryptedPassword, key);

System.out.println("Decrypted password: " + decryptedPassword);

}

private static SecretKeySpec createSecretKey(char[] password, byte[] salt, int iterationCount, int keyLength) throws NoSuchAlgorithmException, InvalidKeySpecException {

SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA512");

PBEKeySpec keySpec = new PBEKeySpec(password, salt, iterationCount, keyLength);

SecretKey keyTmp = keyFactory.generateSecret(keySpec);

return new SecretKeySpec(keyTmp.getEncoded(), "AES");

}

private static String encrypt(String property, SecretKeySpec key) throws GeneralSecurityException, UnsupportedEncodingException {

Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");

pbeCipher.init(Cipher.ENCRYPT_MODE, key);

AlgorithmParameters parameters = pbeCipher.getParameters();

IvParameterSpec ivParameterSpec = parameters.getParameterSpec(IvParameterSpec.class);

byte[] cryptoText = pbeCipher.doFinal(property.getBytes("UTF-8"));

byte[] iv = ivParameterSpec.getIV();

return base64Encode(iv) + ":" + base64Encode(cryptoText);

}

private static String base64Encode(byte[] bytes) {

return Base64.getEncoder().encodeToString(bytes);

}

private static String decrypt(String string, SecretKeySpec key) throws GeneralSecurityException, IOException {

String iv = string.split(":")[0];

String property = string.split(":")[1];

Cipher pbeCipher = Cipher.getInstance("AES/CBC/PKCS5Padding");

pbeCipher.init(Cipher.DECRYPT_MODE, key, new IvParameterSpec(base64Decode(iv)));

return new String(pbeCipher.doFinal(base64Decode(property)), "UTF-8");

}

private static byte[] base64Decode(String property) throws IOException {

return Base64.getDecoder().decode(property);

}

}

仍然存在一个问题：你应该在哪里存储用于加密密码的密码？你可以将其存储在源文件中并对其进行模糊处理，但再次找到它并不困难。或者，你可以在启动Java进程时将其作为系统属性提供(-DpropertyProtectionPassword=...)。

如果你使用KeyStore，同样的问题仍然存在，KeyStore也受密码保护。基本上，你需要在某处拥有一个主密码，而且很难保护。

#2 热门回答(20 赞)

是的，绝对不要编写自己的算法。 Java有很多加密API。

如果你安装的操作系统有密钥库，那么你可以使用它来存储加密密钥，你需要加密和解密配置或其他文件中的敏感数据。

#3 热门回答(18 赞)

查看jasypt，这是一个提供基本加密功能的库，只需要很少的工作量。