javaweb安全之配置文件敏感数据加密

最新推荐文章于 2022-04-25 21:08:29 发布
最新推荐文章于 2022-04-25 21:08:29 发布
阅读量1.1k 收藏
点赞数 3
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41521925/article/details/107472266
版权
需求

最近客户提了个需求,需要将配置文件中数据库用户名密码、ftp用户名密码、redis密码等敏感数据加密,遵循客户至上的原则,我们就干了

计划

计划或者说是改造计划,遵循的原则是不改动或者说尽可能少的改动代码是一个基本的原则。
项目采用springboot的架构,按理说直接@Value引入配置解密或者是添加配置类@EnableAutoConfiguration,在setter方法中设置即可(getter也行),事与愿违,项目的相关bean是引入了xml文件进行初始化的,这个想想还是可以实现的,只需要在读取配置文件的入口直接将密文解密即可,这么想来还是很简单的。

实现方案

springboot提供了个bean进行加载配置文件,直接重写org.springframework.beans.factory.config.PropertyPlaceholderConfigurer中的方法即可

代码实现

项目采用DES进行的加解密,在配置文件中在密文前面添加@DES前缀标识这个配置属性值是需要解密的

/**
 * 读取配置文件时将配置的相关属性值解密
 * 避免代码耦合,在这直接嵌入即可
 */
public class EncryptPropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer {
   Logger logger = LoggerFactory.getLogger(EncryptPropertyPlaceholderConfigurer.class);
    @Override
    protected String convertProperty(String propertyName, String propertyValue) {
        if(StringUtils.isEmpty(propertyValue)||StringUtils.isBlank(propertyValue)) {
            return propertyValue;
        }
        // 值以DES@开头的均为DES加密,需要解密
        if(propertyValue.startsWith("DES@")) {
            logger.warn("解密配置文件密文{} = {} " ,propertyName,propertyValue);
            return DESPlusHolder.decrypt(propertyValue.substring(4));
        }
        return super.convertProperty(propertyName, propertyValue);
    }
}

改造xml配置文件中的propertyConfigurer bean的class实现类为上面我们自己重新的全类路径即可

<bean id="propertyConfigurer" class="com.xxx.xxx.xxx.common.EncryptPropertyPlaceholderConfigurer">
		<property name="fileEncoding" value="utf-8" />
		<property name="locations">
			<list>
				<value>classpath*:application.properties</value>
				<value>classpath*:xx-xx-xxxx.properties</value>
				<value>classpath*:applicationcontext-xxx-xxx-*.properties</value>
			</list>
		</property>
</bean>

完美解决,搞完后感觉还是很简单的,但还是很开心,需要的同学直接copy可用

锦梦如凉
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
脱敏处理java项目(高收藏)
10-12
包含github上的收藏率最高的两个脱敏小项目,简单易用,其中一个为desensitized-master.zip,我已经成功将其搭配到项目中,发现很简单易懂好用,第二个是sensitive-data-master.zip,收藏星星没有第一个高,由于时间关系还没有研究,请大家放心下载放心使用,本人已经成功集成进项目了
java web属性文件_java web 项目配置文件属性加密
weixin_33014843的博客
02-23 119
1.未加密config.properties配置mail.host=192.168.0.100mail.username=email_usernamemail.password=email_passwordmail.smtp.auth=truemail.smtp.timeout=15000mail.smtp.port=25spring-context.xmlclasspath*:config.pr...
java 配置文件加密_Java在配置文件加密密码?
weixin_42652674的博客
02-19 1724
小编典典一种简单的方法是在Java中使用基于密码的加密。这使你可以使用密码来加密和解密文本。这基本上意味着初始化一个javax.crypto.Cipherwith算法"AES/CBC/PKCS5Padding"并从javax.crypto.SecretKeyFactory该"PBKDF2WithHmacSHA512"算法获取密钥。这是一个代码示例(已更新以替换不太安全的基于MD5的变体):impo...
Javaweb学习笔记:关于数据库的加密功能
weixin_63692854的博客
04-25 506
数据加密浅谈: 数据加密系统是一款基于透明加密技术、主动防御机制的数据库防泄漏系统,该产品能够实现对数据库中的敏感数据加密存储、访问控制增强、应用访问安全安全审计以及三权分立等功能。有效防止明文存储引起的数据泄密、突破边界防护的外部黑客攻击、来自于内部高权限用户的数据窃取,防止绕开合法应用系统直接访问数据库,从根本上解决数据敏感数据泄漏问题,真正实现了数据高度安全、应用完全透明、密文高效访问等技术特点。 为什么要加密数据安全技术之一,数据安全技术主要包括:数据库漏洞扫描、数据加密数据
javaweb简单快速的密码加密
qq_36206579的博客
12-21 4398
很多小伙伴在写自己练习项目的时候,在登录页登录时,想在后台数据库放入加密的密码,好,那我们就切入正题, 1.先导入commons-codec的jar包,我用的是老的1.10版本的jar包,由maven引入 commons-codec commons-codec 1.10 2.在工具类中加入方法 /** * 密码加密处理(MD5) *
常见JavaWeb安全问题和解决方案
08-19
* 服务端返回冗余敏感数据 * 将敏感信息直接写在前端页面的注释中 * 写在配置文件的密码未进行编码处理 * 请求参数敏感信息未脱敏处理 * 前端展示的敏感信息,没有在后台进行脱敏处理 修复方法: * 对敏感信息进行...
基于javaweb的简易投票系统数据文件.zip
06-19
【标题】"基于javaweb的简易投票系统数据文件.zip" 涉及到的知识点主要集中在JavaWeb开发和数据库管理上。JavaWeb是一种利用Java技术进行Web应用程序开发的方法,它包括Servlet、JSP(JavaServer Pages)、JSTL...
攻击JavaWeb应用1-9[JavaWeb安全系列]
04-02
8. 不安全配置:服务器、数据库、应用程序的默认配置往往存在安全隐患,应及时更新补丁、修改默认密码、限制不必要的网络服务。 9. 缓冲区溢出:Java语言虽然较少受到这种攻击,但理解其原理对编写安全代码仍然...
springboot多数据配置
06-05
6. **安全性考虑**:确保敏感数据库连接信息,如用户名和密码,不要直接硬编码在配置文件中,应使用环境变量或密钥管理服务进行加密存储。 总的来说,Spring Boot多数据配置提供了灵活性和扩展性,使得在复杂...
javaWeb实现的过滤器敏感字过滤
03-17
因此,最好结合其他安全措施,如输入验证、数据加密等。 2. 敏感字符列表应定期更新,以应对新的威胁。 3. 对于大量数据的处理,考虑优化过滤性能,例如使用高效的字符串匹配算法或使用正则表达式。 综上所述,...
Java防止文件被篡改之文件校验功能的实例代码
08-26
主要介绍了Java防止文件被篡改之文件校验功能,本文给大家分享了文件校验和原理及具体实现思路,需要的朋友可以参考下
webconfige加密解密
05-15
webconfige加密解密webconfige加密解密webconfige加密解密webconfige加密解密webconfige加密解密
java web 项目数据库连接账号密码加密
dp2727的博客
04-10 3738
java web 项目数据库连接加密方式
Java 中如何加密配置文件中的数据库账号和密码?
HongYu012的博客
02-28 1859
作为程序员每天的开发工作都离不开跟数据库打交道,而且我们的应用程序往往都会配置数据库的链接,那你有没有想过,任何一个能接触到我们项目代码的人员,都可以看到配置文件里面的账号秘密? 相信很多人的项目里面配置文件都是类似这样写的 ############### Mysql配置 ######################### spring.datasource.type=com.zaxxer.hikari.HikariDataSource spring.datasource.driver-class-n
oracle jdbc用户名密码加密,加密JDBC配置文件中的用户密码
weixin_27076351的博客
04-04 1988
项目中使用JDBC连接数据库,一般配置如下:p:driverClassName="oracle.jdbc.driver.OracleDriver"p:url="jdbc:oracle:thin:@127.0.0.1:1521:orcl"p:username="test"p:password="test" />如果有用户这台服务器访问权限(比如root),就可以看到这个applicationC...
java配置文件密码加密解密_Java-从配置文件加密/解密用户名和密码
weixin_42509803的博客
02-16 1061
小编典典在Intranet上当然不能证明消除安全性是合理的。对信息造成的大多数损害是内部人员造成的。查看受保护内容的价值,并适当考虑安全性。听起来好像有一个第三方应用程序,您拥有一个第三方凭据,并且某些客户端在使用第三方应用程序时可以有效地共享此身份。如果是这样,我建议采用以下方法。请勿在您的Web服务器之外分发第三方密码。最安全的方法是以交互方式将其提供给Web应用程序。可以是ServletCo...
java配置文件数据库密码加密
hqw921054的博客
08-19 4432
最近,有位读者私信我说,他们公司的项目中配置数据库密码没有加密,编译打包后的项目被人反编译了,从项目中成功获取到数据库的账号和密码,进一步登录数据库获取了相关的数据,并对数据库进行了破坏。 虽然这次事故影响的范围不大,但是这足以说明很多公司对于项目的安全性问题重视程度不够。 数据泄露缘由 由于Java项目的特殊性,打包后的项目如果没有做代码混淆,配置文件中的重要配置信息没有做加密处理的话,一旦打包的程序被反编译后,很容易获得这些敏感信息,进一步对项目或者系统造成一定的损害。 所以,无论是公司层面还
java web项目中对数据库用户名密码加密的一种解决方案
热门推荐
洋成林
08-07 1万+
原文路径:https://blog.csdn.net/u010463032/article/details/7900906 我们使用的项目经常是这个样子的: <beanid="dataSource"class="org.apache.commons.dbcp.BasicDataSour destroy-method="close" p:driverClass...
我的JAVA笔记之spring security安全框架-配置文件
qq_46452011的博客
07-03 251
我的笔记之spring security安全框架-配置文件 先上代码:spring-security.xml配置文件 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:security="http:/
javaweb配置文件概述
最新发布
05-27
JavaWeb 项目中的配置文件主要有以下几种: 1. web.xml:也叫做 deployment descriptor,是 Java Web 应用程序的部署描述文件,用来描述整个 Web 应用程序的配置信息,比如 Servlet、Filter、Listener 等的映射关系...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值