jlinkarm目标程序和boot文件一起刷_编程实践:使用Jasypt加密SpringBoot配置文件

最新推荐文章于 2023-06-03 21:19:15 发布
最新推荐文章于 2023-06-03 21:19:15 发布
阅读量184 收藏
点赞数
文章标签: jlinkarm目标程序和boot文件一起刷 springboot启动时使用哪个配置文件

连接:https://mp.weixin.qq.com/s/jw_AQ6sm7O3SkeDImWB3jg

作者:sunshujie1990

fcc59f02e546b8e42ac11ec2e3760b7d.png

1.构建一个springboot项目,并且引入jasypt依赖

        com.github.ulisesbocchio        jasypt-spring-boot-starter        3.0.2

2.编写一个单元测试,用于获取加密后的账号密码

StringEncryptor是jasypt-spring-boot-starter自动配置的加密工具,加密算法我们选择PBEWithHmacSHA512AndAES_128,password为123abc

jasypt.encryptor.password=123abcjasypt.encryptor.algorithm=PBEWithHmacSHA512AndAES_128
@SpringBootTestclass SpringbootPropertiesEncApplicationTests {    @Autowired    private StringEncryptor stringEncryptor;    @Test    void contextLoads() {        String sunshujie = stringEncryptor.encrypt("sunshujie");        String qwerty1234 = stringEncryptor.encrypt("qwerty1234");        System.out.println(sunshujie);        System.out.println(qwerty1234);    }}

3.在application.properties中配置加密后的账号密码

jasypt.encryptor.password=123abcjasypt.encryptor.algorithm=PBEWithHmacSHA512AndAES_128username=ENC(pXDnpH3GdMDBHdxraKyAt7IKCeX8mVlM9A9PeI9Ow2VUoBHRESQ5m8qhrbp45vH+)password=ENC(qD55H3EKYpxp9cGBqpOfR2pqD/AgqT+IyClWKdW80MkHx5jXEViaJTAx6Es4/ZJt)

4.观察在程序中是否能够拿到解密后的账号密码

@SpringBootApplicationpublic class SpringbootPropertiesEncApplication implements CommandLineRunner {    private static final Logger logger = LoggerFactory.getLogger(SpringbootPropertiesEncApplication.class);    public static void main(String[] args) {        SpringApplication.run(SpringbootPropertiesEncApplication.class, args);    }    @Value("${password}")    private String password;    @Value("${username}")    private String username;    @Override    public void run(String... args) throws Exception {        logger.info("username: {} , password: {} ", username, password);    }}

原理解析

加密原理

首先看jasypt相关的配置,分别是password和加密算法

jasypt.encryptor.password=123abcjasypt.encryptor.algorithm=PBEWithHmacSHA512AndAES_128

PBEWithHmacSHA512AndAES_128是此次我们选用的加密算法.

123abc是PBEWithHmacSHA512AndAES_128加密过程中用的加密密码.

PBE是基于密码的加密算法,密码和秘钥相比有什么好处呢?好处就是好记…

PBE加密流程如下

  1. 密码加盐
  2. 密码加盐结果做摘要获取秘钥
  3. 用秘钥对称加密原文,然后和盐拼在一起得到密文

PBE解密流程如下

  1. 从密文获取盐
  2. 密码+盐摘要获取秘钥
  3. 密文通过秘钥解密获取原文

再来看PBEWithHmacSHA512AndAES_128,名字就是加密过程中用的具体算法

  • PBE是指用的是PBE加密算法
  • HmacSHA512是指摘要算法,用于获取秘钥
  • AES_128是对称加密算法
jasypt-spring-boot-starter原理

先从spring.factories文件入手查看自动配置类

org.springframework.boot.autoconfigure.EnableAutoConfiguration=com.ulisesbocchio.jasyptspringboot.JasyptSpringBootAutoConfiguration

JasyptSpringBootAutoConfiguration配置仅仅使用@Import注解引入另一个配置类EnableEncryptablePropertiesConfiguration.

@Configuration@Import({EnableEncryptablePropertiesConfiguration.class})public class JasyptSpringBootAutoConfiguration {    public JasyptSpringBootAutoConfiguration() {    }}

从配置类EnableEncryptablePropertiesConfiguration可以看到有两个操作

1.@Import了EncryptablePropertyResolverConfiguration.class, CachingConfiguration.class

2.注册了一个BeanFactoryPostProcessor -> EnableEncryptablePropertiesBeanFactoryPostProcessor

@Configuration@Import({EncryptablePropertyResolverConfiguration.class, CachingConfiguration.class})public class EnableEncryptablePropertiesConfiguration {    private static final Logger log = LoggerFactory.getLogger(EnableEncryptablePropertiesConfiguration.class);    public EnableEncryptablePropertiesConfiguration() {    }    @Bean    public static EnableEncryptablePropertiesBeanFactoryPostProcessor enableEncryptablePropertySourcesPostProcessor(ConfigurableEnvironment environment) {        boolean proxyPropertySources = (Boolean)environment.getProperty("jasypt.encryptor.proxy-property-sources", Boolean.TYPE, false);        InterceptionMode interceptionMode = proxyPropertySources ? InterceptionMode.PROXY : InterceptionMode.WRAPPER;        return new EnableEncryptablePropertiesBeanFactoryPostProcessor(environment, interceptionMode);    }}

先看EncryptablePropertyResolverConfiguration.class

lazyEncryptablePropertyDetector这里有配置文件中ENC()写法的出处.从名称来看是用来找到哪些配置需要解密.

从代码来看,不一定非得用ENC()把密文包起来, 也可以通过配置来指定其他前缀和后缀

jasypt.encryptor.property.prefixjasypt.encryptor.property.suffix
    @Bean(        name = {"lazyEncryptablePropertyDetector"}    )    public EncryptablePropertyDetector encryptablePropertyDetector(EncryptablePropertyResolverConfiguration.EnvCopy envCopy, BeanFactory bf) {        String prefix = envCopy.get().resolveRequiredPlaceholders("${jasypt.encryptor.property.prefix:ENC(}");        String suffix = envCopy.get().resolveRequiredPlaceholders("${jasypt.encryptor.property.suffix:)}");        String customDetectorBeanName = envCopy.get().resolveRequiredPlaceholders(DETECTOR_BEAN_PLACEHOLDER);        boolean isCustom = envCopy.get().containsProperty("jasypt.encryptor.property.detector-bean");        return new DefaultLazyPropertyDetector(prefix, suffix, customDetectorBeanName, isCustom, bf);    }

另外还配置了很多bean,先记住这两个重要的bean.带着疑问往后看.

  • lazyEncryptablePropertyResolver 加密属性解析器
  • lazyEncryptablePropertyFilter 加密属性过滤器
    @Bean(        name = {"lazyEncryptablePropertyResolver"}    )    public EncryptablePropertyResolver encryptablePropertyResolver(@Qualifier("lazyEncryptablePropertyDetector") EncryptablePropertyDetector propertyDetector, @Qualifier("lazyJasyptStringEncryptor") StringEncryptor encryptor, BeanFactory bf, EncryptablePropertyResolverConfiguration.EnvCopy envCopy, ConfigurableEnvironment environment) {        String customResolverBeanName = envCopy.get().resolveRequiredPlaceholders(RESOLVER_BEAN_PLACEHOLDER);        boolean isCustom = envCopy.get().containsProperty("jasypt.encryptor.property.resolver-bean");        return new DefaultLazyPropertyResolver(propertyDetector, encryptor, customResolverBeanName, isCustom, bf, environment);    }    @Bean(        name = {"lazyEncryptablePropertyFilter"}    )    public EncryptablePropertyFilter encryptablePropertyFilter(EncryptablePropertyResolverConfiguration.EnvCopy envCopy, ConfigurableBeanFactory bf, @Qualifier("configPropsSingleton") Singleton configProps) {        String customFilterBeanName = envCopy.get().resolveRequiredPlaceholders(FILTER_BEAN_PLACEHOLDER);        boolean isCustom = envCopy.get().containsProperty("jasypt.encryptor.property.filter-bean");        FilterConfigurationProperties filterConfig = ((JasyptEncryptorConfigurationProperties)configProps.get()).getProperty().getFilter();        return new DefaultLazyPropertyFilter(filterConfig.getIncludeSources(), filterConfig.getExcludeSources(), filterConfig.getIncludeNames(), filterConfig.getExcludeNames(), customFilterBeanName, isCustom, bf);    }

再看EnableEncryptablePropertiesBeanFactoryPostProcessor这个类

  1. 是一个BeanFactoryPostProcessor
  2. 实现了Ordered,是最低优先级,会在其他BeanFactoryPostProcessor执行之后再执行
  3. postProcessBeanFactory方法中获取了上面提到的两个重要的bean, lazyEncryptablePropertyResolver lazyEncryptablePropertyFilter
  4. 从environment中获取了PropertySources
  5. 调用工具类进行转换PropertySources, 也就是把密文转换为原文
public class EnableEncryptablePropertiesBeanFactoryPostProcessor implements BeanFactoryPostProcessor, Ordered {        // ignore some code    public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {        LOG.info("Post-processing PropertySource instances");        EncryptablePropertyResolver propertyResolver = (EncryptablePropertyResolver)beanFactory.getBean("lazyEncryptablePropertyResolver", EncryptablePropertyResolver.class);        EncryptablePropertyFilter propertyFilter = (EncryptablePropertyFilter)beanFactory.getBean("lazyEncryptablePropertyFilter", EncryptablePropertyFilter.class);        MutablePropertySources propSources = this.environment.getPropertySources();        EncryptablePropertySourceConverter.convertPropertySources(this.interceptionMode, propertyResolver, propertyFilter, propSources);    }    public int getOrder() {        return 2147483547;    }}

再看工具类EncryptablePropertySourceConverter

1.过滤所有已经是EncryptablePropertySource的PropertySource

2.转换为EncryptablePropertySource

3.用EncryptablePropertySource从PropertySources中替换原PropertySource

    public static void convertPropertySources(InterceptionMode interceptionMode, EncryptablePropertyResolver propertyResolver, EncryptablePropertyFilter propertyFilter, MutablePropertySources propSources) {        ((List)StreamSupport.stream(propSources.spliterator(), false).filter((ps) -> {            return !(ps instanceof EncryptablePropertySource);        }).map((ps) -> {            return makeEncryptable(interceptionMode, propertyResolver, propertyFilter, ps);        }).collect(Collectors.toList())).forEach((ps) -> {            propSources.replace(ps.getName(), ps);        });    }

关键方法在makeEncryptable中,调用链路很长, 这里选取一条链路跟一下

  1. .ulisesbocchio.jasyptspringboot.EncryptablePropertySourceConverter#makeEncryptable
  2. com.ulisesbocchio.jasyptspringboot.EncryptablePropertySourceConverter#convertPropertySource
  3. com.ulisesbocchio.jasyptspringboot.EncryptablePropertySourceConverter#proxyPropertySource
  4. com.ulisesbocchio.jasyptspringboot.aop.EncryptablePropertySourceMethodInterceptor#invoke
  5. com.ulisesbocchio.jasyptspringboot.caching.CachingDelegateEncryptablePropertySource#getProperty
  6. com.ulisesbocchio.jasyptspringboot.EncryptablePropertySource#getProperty()

看到最后豁然开朗,发现就是用的最开始配置的DefaultLazyPropertyResolver进行密文解析.

直接看最终的实现 DefaultPropertyResolver

  1. 据lazyEncryptablePropertyDetector过滤需要解密的配置
  2. 用lazyEncryptablePropertyDetector去掉前缀后缀
  3. 替换占位符
  4. 解密
    public String resolvePropertyValue(String value) {        Optional var10000 = Optional.ofNullable(value);        Environment var10001 = this.environment;        var10001.getClass();        var10000 = var10000.map(var10001::resolveRequiredPlaceholders);        EncryptablePropertyDetector var2 = this.detector;        var2.getClass();        return (String)var10000.filter(var2::isEncrypted).map((resolvedValue) -> {            try {                String unwrappedProperty = this.detector.unwrapEncryptedValue(resolvedValue.trim());                String resolvedProperty = this.environment.resolveRequiredPlaceholders(unwrappedProperty);                return this.encryptor.decrypt(resolvedProperty);            } catch (EncryptionOperationNotPossibleException var5) {                throw new DecryptionException("Unable to decrypt: " + value + ". Decryption of Properties failed,  make sure encryption/decryption passwords match", var5);            }        }).orElse(value);    }

解惑

1.加密配置文件能否使用摘要算法,例如md5?

不能, 配置文件加密是需要解密的,例如数据库连接信息加密,如果不解密,springboot程序无法读取到真正的数据库连接信息,也就无法建立连接.

2.加密配置文件能否直接使用对称加密,不用PBE?

可以, PBE的好处就是密码好记.

3.jasypt.encryptor.password可以泄漏吗?

不能, 泄漏了等于没有加密.

4.例子中jasypt.encryptor.password配置在配置文件中不就等于泄漏了吗?

是这样的,需要在流程上进行控制.springboot打包时千万不要把jasypt.encryptor.password打入jar包内.

在公司具体的流程可能是这样的:

  • 运维人员持有jasypt.encryptor.password,加密原文获得密文
  • 运维人员将密文发给开发人员
  • 开发人员在配置文件中只配置密文,不配置jasypt.encryptor.password
  • 运维人员启动应用时再配置jasypt.encryptor.password

如果有其他疑惑欢迎留言提问, 另外由于作者水平有限难免有疏漏, 欢迎留言纠错。

weixin_39922361
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SEGGER-Setup_JLinkARM_V460a.rar
05-30
jlink驱动,SEGGER-Setup_JLinkARM_V460a,旧版本驱动比较稳定,供大家下载参考使用
Setup_JLinkARM_V415e.exe
07-16
JLink驱动。
SpringBoot | 第三十七章:集成Jasypt实现配置加密
oKong | 趔趄的猿
05-08 590
前言 近期在进行项目安全方面评审时,质量管理部门有提出需要对配置文件中的敏高文件进行加密处理,避免了信息泄露问题。想想前段时间某公司上传github时,把相应的生产数据库明文密码也一并上传了,导致了相应的数据泄露问题。也确实,大部分项目无论开发、测试还是生产环境,相关的敏高信息都是明文存储的,也是一大安全隐患呀。所以今天来说说,如何对配置文件进行加密操作。 一点知识 何为Jasypt ...
关于对springboot程序配置文件使用jasypt开源工具自定义加密
a7272706的博客
04-23 250
一、前言   在工作中遇到需要把配置文件加密的要求,很容易就在网上找到了开源插件 jasypt (https://github.com/ulisesbocchio/jasypt-spring-boot#customEncryptor),根据官方说明和网上其他示例很容易搞定加密解密,但是本功能要求使用自定义的加密解密方法,查了下网上没有示例,于是看了下官方文档中关于自定义加密解密的部分...
基于 JasyptSpringboot 配置信息进行加密
TechRunner
07-03 675
通过JasyptSpringboot 项目中的配置文件敏感信息进行加密
jasypt-spring-boot-starter 配置文件加密
qq_35354529的博客
09-15 333
添加maven依赖 <!--配置文件加密--> <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.3</version>
使用JasyptSpringBoot配置文件加密
Lambda
08-12 236
一、前言 现代互联网充斥着各种攻击、病毒、钓鱼、欺诈等手段,层出不穷。在目前安全形势越来越严重的形势下,我们项目的安全是必须要谨慎对待的问题。项目中的一个安全漏洞处理不好就可能给公司或个人带来严重的损失。 “配置属性加密”的应用场景:假设如果攻击者通过某些手段拿到部分敏感代码或配置,甚至是全部源代码和配置时,保障我们的基础设施账号依然不被泄漏。当然手段多种多种多样,比如以某台中毒的...
JLinkARM_V468安装包
04-09
JLinkARM_V468安装包,JLinkARM_V468安装包,JLinkARM_V468安装包
JLinkARM_hidden41j_JLinkARM.DLL_jlink_jlinkarm_jlinkdll_
10-02
JLink Arm Dll to integrate with Jlink
驱动+Setup_JLinkARM_V408l等.zip
09-02
Keil驱动 STM32驱动
使用jasyptspringboot配置文件加密
m0_46836425的博客
04-18 820
使用jasypt配置文件加密先看一份典型的配置文件 这是节选自某个典型的Spring Boot项目的application.properties配置文件;这乍一看没啥问题,很多人会觉得理所当然。包括我自己也看到过很多的项目(包括很多开源项目)是这么写的。但仔细一琢磨,发现:很多项目的配置文件里,包括数据库密码、缓存密码、亦或是一些第三方服务的Key都是直接配在里面,没有做任何加密处理!之前倒是看到过一个例子,一个程序员把自己公司的项目代码上传到了自己的GitHub仓库里了,结果配置文件忘了处理,导致公司数
springboot配置jasypt 加密
猪猪神功屁
03-23 452
jasypt加密
SpringBootSpringBoot使用Jasypt工具类加密属性配置
weixin_42252805的博客
07-01 375
application.yml中的账号密码明文展示,存在安全隐患 用Jasypt配置文件的账号密码加密,增加系统的安全性
SpringBoot项目集成jasypt-spring-boot加密组件
科技互联网领域深度探索者,乐于分享与写作。
04-14 4135
title: SpringBoot项目集成jasypt-spring-boot加密组件 date: 2022-04-10 16:07 categories: 后端开发技术 tags: jsaypt springboot jsaypt是一个对源码进行加密的技术,可以包装我们在源码配置文件里面的有段的敏感信息,如用户名密码等 先看一份典型的配置文件 ... 省略 ... ## 配置MySQL数据库连接 spring.datasource.driver-class-name=com.mysql.jd.
Springboot集成Jasypt实现配置文件加密
second_place_zyj的博客
04-26 548
完成对配置文件加密解密,保护系统安全
Spring Boot项目使用 jasypt 加密组件进行加密(例如:数据库、服务的Key、等等进行加密)
总结分享
06-03 3312
密码配置项都不加密?`想啥呢?`
Spring Boot 配置加密
weixin_43328098的博客
08-07 242
Spring Boot内置的properties支持为我们读取properties带来了便利。Properties文件的属性主要包含两种:系统内置(包含各个starter)的属性和用户自定义的属性。系统内置的属性由项目启动之时自动加载,不需要我们编写相关加载方法,而自定义的属性需要编写载入操作。具体步骤大家可以参考Spring Boot读取配置文件自...
springboot项目使用jasypt实现配置文件属性加解密
平时的经验总结,学习历程
02-15 643
springboot项目使用jasypt实现配置文件属性加解密,首先在项目的pom文件中引入对应的jar包,其中${jasypt.version}可以在pom文件中properties属性中定义。文章中使用的版本是2.1.0。
SpringBoot 集成 Jasypt 对数据库加密以及踩坑
乐之终曲
07-24 8123
前言 密码安全是非常重要的,因此我们在代码中往往需要对密码进行加密,以此保证密码的安全 加依赖 <!-- jasypt --> <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.3</version&gt
jlinkarm修复文件.zip
最新发布
11-16
当你的.zip文件损坏或无法打开时,你可以使用jlinkarm修复文件.zip来尝试恢复数据。 要使用jlinkarm修复文件.zip,首先你需要下载并安装这个软件。安装完成后,你可以打开软件并选择要修复的.zip文件。接下来,软件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值