使用Jasypt保护Spring Boot配置文件中的数据库密码:避免敏感信息泄露

已于 2024-06-01 15:32:21 修改
阅读量2.8k 收藏 13
点赞数 68
文章标签: spring boot 数据库 git
于 2024-03-18 14:04:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41883161/article/details/136807482
版权

在Spring Boot项目中,配置文件中往往包含数据库的用户名和密码等敏感信息,如果不加保护直接上传到Git仓库并对外网开放,可能会导致严重的安全问题。本文介绍了如何使用Jasypt(Java Simplified Encryption)对这些敏感信息进行加密处理,从而提高项目的安全性。通过引入Jasypt依赖、配置加解密方法、在配置文件中使用加密后的密码,并在项目启动时提供加密密钥,我们可以有效地保护敏感信息。本文还详细讲解了Jasypt的工作原理以及如何在Spring Boot项目中集成和使用这一工具,同时提供了安全管理的建议,确保加密密码和其他敏感信息的安全性。

SpringBoot项目配置文件数据库密码安全上传方案

在Spring Boot项目中,配置文件中往往会包含数据库的用户名和密码等敏感信息。如果不加保护直接上传到Git仓库并对外网开放,后果不堪设想。本文将介绍如何使用Jasypt工具来加密这些敏感信息,从而提高项目的安全性。

Jasypt简介

Jasypt (Java Simplified Encryption) 是一个开源的Java加密工具库,旨在简化加密操作。通过使用Jasypt,我们可以轻松地对配置文件中的敏感信息进行加密和解密。

SpringBoot项目引入Jasypt

首先,在pom.xml中添加Jasypt的依赖:

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.4</version>
</dependency>

加解密测试

接下来,我们编写一个简单的单元测试来验证Jasypt的加解密功能:

import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;
import org.junit.jupiter.api.Test;

public class JasyptTest {

    @Test
    public void testEncryptionDecryption() {
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword("123456"); // 加密密码
        config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256"); // 加密算法
        config.setKeyObtentionIterations("1000"); // 密钥获取迭代次数
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        
        String originalText = "hello ...";
        String encryptedText = encryptor.encrypt(originalText);
        System.out.println("加密后: " + encryptedText);
        
        String decryptedText = encryptor.decrypt(encryptedText);
        System.out.println("解密后: " + decryptedText);
    }
}

运行测试,我们可以看到:

加密后: nOvch7+afYNA0xcbPQq1yzmK0yLj7GmCQR6YpVFH61IkMnTEULVgJz2b2yU3DKbs
解密后: hello ...

在SpringBoot中使用Jasypt

我们可以在Spring Boot项目中使用Jasypt来加密配置文件中的敏感信息。首先,将配置文件中的明文密码替换为加密后的密码,并使用ENC()包装:

spring:
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    url: jdbc:mysql://localhost:3306/scott?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone=GMT%2B8
    username: root
    password: ENC(nOvch7+afYNA0xcbPQq1yzmK0yLj7GmCQR6YpVFH61IkMnTEULVgJz2b2yU3DKbs)

在启动项目时,需要通过启动参数传递加密密码:

-Djasypt.encryptor.password=123456

配置示例

在Spring Boot项目中,可以在application.ymlapplication.properties文件中配置Jasypt:

jasypt:
  encryptor:
    password: ${JASYPT_ENCRYPTOR_PASSWORD}
    algorithm: PBEWITHHMACSHA512ANDAES_256
    key-obtention-iterations: 1000
    pool-size: 1
    provider-name: SunJCE
    salt-generator-classname: org.jasypt.salt.RandomSaltGenerator
    iv-generator-classname: org.jasypt.iv.RandomIvGenerator
    string-output-type: base64

并确保在运行时通过环境变量提供加密密码,例如:

export JASYPT_ENCRYPTOR_PASSWORD=123456

原理解析

Jasypt在启动时,会扫描配置文件中的属性值,判断是否以ENC(开头并以)结尾。如果是,则提取出其中的密文,并使用提供的加密密码和配置进行解密,将解密后的明文值注入到对应的属性中。在代码中通过如@Value("${spring.datasource.password}")方式获取的将是解密后的明文。

安全注意事项

  1. 密钥管理:加解密密码必须安全存储,建议通过环境变量或专门的密钥管理服务(如AWS KMS、Azure Key Vault等)来管理。
  2. 最小权限原则:确保应用仅拥有所需的最低权限,避免过高的数据库权限。
  3. 代码审计:定期对代码和配置进行审计,确保没有明文密码泄露。

通过以上方法,我们可以有效保护Spring Boot项目中的敏感信息,避免其在Git仓库中被暴露,提高项目的安全性。

九转成圣
关注
  • 68
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
SpringBoot使用Jasypt配置文件加密、数据库密码加密_jasyptspringboot配置文件加密的使用
2301_82243070的博客
04-12 1120
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
利用Jasypt如何对Spring Boot配置文件加密
08-27
主要给大家介绍了关于利用Jasypt如何对Spring Boot配置文件加密的相关资料,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Jasypt 数据库间件密码加解密
fivehundredyearsago的博客
07-04 1670
将加密后密码替换值yml文件ENC()括号内。三、修改application.yml。二、新增JasyptUtils工具类。
SpringBoot使用Jasypt配置文件加密、数据库密码加密
tianmaxingkonger的专栏
11-03 1996
Jasypt是一个Java简易加密库,用于加密配置文件敏感信息,如数据库密码jasypt库与springboot集成,在实际开发非常方便。1、Jasypt Spring Bootspring boot 应用程序的属性源提供加密支持,出于安全考虑,Spring boot 配置文件敏感信息通常需要对它进行加密/脱敏处理,尽量不使用明文,要实现这一点,办法有很多,自己手动对敏感信息进行加解密也是可以的。
SpringBoot学习笔记-application.properties配置大全
ideal456的博客
09-25 1763
SpringBoot学习笔记-application.properties配置大全
Application.yml 常用配置
这个人很懒,什么都没留下
04-14 1361
参考:https://blog.csdn.net/z_2588/article/details/124157791。
jasypt-wemper:jasypt-spring-boot
05-09
它允许开发者通过简单的配置,就可以实现对Spring Boot配置文件(如application.properties或application.yml)敏感信息进行加密。这样,即使配置文件泄露,攻击者也无法直接获取到明文信息,提高了系统的安全...
Spring Boot加密配置文件特殊内容的示例代码详解
08-19
Spring Boot 加密配置文件特殊内容是指在 Spring Boot 项目敏感信息(如数据库连接信息、ftp 信息、支付信息等)进行加密保护,以免泄露和非法访问。在本篇文章,我们将详细介绍 Spring Boot 加密配置文件...
数据库密码配置加密操作步骤.doc
07-15
Spring Boot 数据库账号密码加密操作是指在 Spring Boot 应用程序数据库账号密码进行加密保护,以避免敏感信息泄露。下面将详细介绍 Spring Boot 数据库账号密码加密操作步骤。 一、 Spring Boot 数据库...
配置文件内容加密jasypt demo
12-14
Spring Boot,我们可以利用jasypt来加密配置文件(如application.properties或application.yml)敏感数据,确保即使配置文件泄露,也无法直接获取到原始的明文信息。 首先,我们需要在项目引入jasypt的...
Springboot+PBEWITHHMACSHA512ANDAES-128配置文件密码加密
11-23
通过以上步骤,你的Spring Boot应用就能使用PBEWITHHMACSHA512ANDAES-128加密策略,有效保护配置文件密码和其他敏感信息。这个过程虽然涉及多个步骤,但能显著提高应用的安全性,防止因数据泄露带来的潜在风险。...
Jasypt加解密
qq_24045275的博客
06-13 3642
Jasypt加密引言​ Jasypt也即Java Simplified Encryption是Sourceforge.net上的一个开源项目。Jasypt 1.4的新特性包括:加密属性文件(encryptable properties files)、Spring Framework集成、加密Hibernate数据源配置、新的命令工具、URL加密的Apache wicket集成以及升级文档。
springboot整合jasypt加密yml配置文件
一名代码爱好者的博客
07-11 516
通常项目配置文件的账号信息如下,都是直接暴露出来的,如果源码不小心泄露将会引起一系列安全问题...
application.yml数据库配置
热门推荐
m0_55578242的博客
07-23 1万+
1.pom.xml 文件里面导入mybatis配置 <!--mybatis--> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.1.0&
SpringbootJasypt配置文件加密/解密
最新发布
Java后端技术栈
04-16 3675
前言在大多数项目配置文件的 mysql 数据库密码、redis 密码等其他敏感密码都是以明文形式存在,这种配置本身没有任何问题,但是,在某些情况下,可能会对公司造成不可挽救的损失,比如:某一天,小明因为加班过度,头脑发昏,不小心把公司项目上传到自己的 GitHub 仓库里面了,导致的后果就是,公司数据库用户名密码泄露,被某些大佬加以利用…所以,基于上面这种情况,加入配置文件数据库用户密码等其他敏感信息都是经过加密处理过的呢???是不是可以大概率避免这种情况。Jasypt 因此应运而生。
SpringBoot项目配置明文密码泄露问题的处理方式
Sunshinejourney的博客
12-02 461
SpringBoot项目配置明文密码泄露问题的处理方式
jasypt对redis连接密码加密
nilm61的专栏
01-06 1268
使用上面jasypt-spring-boot-starter对应的jasypt依赖, Application.java不需要该配置);增加配置属性jasypt.encryptor.password = XXX,这是加密的秘钥,这里我定的是sb01;Jasypt引用的maven配置: 这里我用的是jasypt1.9.2的版本, 你们可以考虑更高版本配置的。考虑安全性,项目部署的时候,配置文件数据库账户密码不能为明文,所以考虑加密方式。这里使用的是jasypt,druid 见文章《1、Jasypt加密。
怎么保证springboot配置文件数据库密码的安全
06-09
Spring Boot 项目使用数据库时,通常需要在配置文件存储数据库用户名和密码。为了保证数据库密码的安全性,我们可以采取以下措施: 1. 使用加密算法加密数据库密码 可以使用Jasypt 这样的加密库来加密配置文件数据库密码。详细的实现步骤可以参考我之前回答的问题。 2. 将配置文件敏感信息外部化 Spring Boot 提供了将配置文件敏感信息外部化的功能。我们可以将数据库密码敏感信息存储在外部的配置文件或者环境变量,然后在 Spring Boot 应用启动时通过指定配置文件或者环境变量来加载这些信息。 例如,我们可以将数据库密码存储在一个名为 application-secrets.properties 的文件,然后在启动应用时使用以下命令加载该文件: ``` java -jar myapp.jar --spring.config.name=application,secrets --spring.config.location=classpath:/,classpath:/config/,file:./,file:./config/ ``` 这里的 --spring.config.name 指定了要加载的文件名,--spring.config.location 指定了加载文件的路径,可以是 classpath 或者文件系统路径。 3. 使用安全的数据库连接方式 在配置数据库连接时,我们可以使用 SSL 连接或者 SSH 隧道等安全的连接方式来保证数据库连接的安全性。 4. 限制数据库用户的权限 在创建数据库用户时,我们可以限制该用户的权限,只给予其必要的权限。这样即使数据库用户名和密码泄露,攻击者也只能访问到有限的数据和功能。 通过以上措施,我们可以保证 Spring Boot 配置文件数据库密码的安全性。同时,我们也需要定期更新数据库密码,以保证系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值