【Nacos配置中心】对配置文件内容进行加密

已于 2022-10-12 23:22:46 修改
阅读量1.4w 收藏 35
点赞数 13
分类专栏: # SpringCloudAlibaba 文章标签: java Nacos spring cloud 配置中心
于 2022-09-11 18:56:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43888891/article/details/126783468
版权

加密主要是针对于配置文件当中的配置,存储到数据库的时候,加密成密文。然后Nacos展示出来的是明文。因为我们有时候会在配置文件存储很多敏感信息,例如数据库连接方式,或者第三方存储系统的相关信息。出于此考虑,Nacos在2.1版本新发布了配置文件加密功能,根本不需要我们自己来实现,很轻松的就能实现 配置内容AES加密 功能。

要实现的效果如下:这是要存储的配置

在这里插入图片描述

配置文件都是放在config_info表当中的,然后配置内容是放在content字段当中的,假如不配置加密,content字段里面都是存放的明文,添加加密后,里面存储的都是密文,但是在Nacos客户端展示配置的时候都是明文。

在这里插入图片描述

总的来说官网写的并不是很明确,还有版本各种问题,导致自己也是踩了好多坑,再加上功能是Nacos刚实现的,网上资料可参考的少之又少,然后专门总结了这一篇文章,希望帮助到更多的人吧!

目录

一、前言

注意:这个是Nacos2.1以及以上版本刚发布的功能

2.1版本发布功能介绍:https://nacos.io/zh-cn/blog/2.1.0-release.html

官网介绍加密插件:https://nacos.io/zh-cn/docs/config-encryption.html

使用前提:如果你没有使用mysql持久化数据而是用的nacos内嵌数据库存储的数据,并且使用的不是2.1版本,而是用的2.0.4 - 2.1 版本,那么想使用加密功能,首先需要把nacos/data文件删除掉。使用内嵌数据库的我们都知道,表根本都不是我们创建的,是程序自动创建的,老版本当中自动创建的表当中并没有encrypted_data_key这个字段。

在这里插入图片描述

Nacos 默认提供 AES 的实现。用户也可以自定义加解密的实现方式。具体的实现在 https://github.com/nacos-group/nacos-plugin 仓库。

在 Nacos 服务端启动的时候就会加载所有依赖的加解密算法,然后通过发布配置的 dataId 的前缀来进行匹配是否需要加解密和使用的加解密算法。

注意:想要使用加密是需要进行修改源码的,通过在源码上进行引入依赖,然后再重新打包。

在这里插入图片描述

重点有两个步骤,如下:

  1. 因为插件那个项目没有上传maven仓库,那也就是我们想要使用他,就需要下载下来,然后打包到本地仓库。
  2. 然后再下载下来nacos源码,将插件依赖添加到nacos源码当中,再将nacos打包。
  3. 然后我们通过自己打包的nacos,启动后会发现他已经存在加密功能了。

二、下载Nacos源码并启动

下载源码有两种方式,一种是通过git clone直接克隆仓库到本地,一种是直接下载zip源码包,然后解压。

方式一:克隆最新的代码git clone https://github.com/alibaba/nacos.git

方式二:下载zip:github源码地址:https://github.com/alibaba/nacos

在这里插入图片描述

下载好之后直接通过ider打开项目如下:

打开源码会发现Nacos也是分了好多子模块,至于他的模块依赖关系,大家可以自行查看,本篇就不具体描述了。目前我们只需要关注哪个是项目启动的入口。如下图所示的console模块,通过这个模块的springboot启动类,我们就可以启动Nacos项目了。

在这里插入图片描述

Nacos默认是集群启动方式,所以需要指定为单机启动(不然会启动报错的):
-Dnacos.standalone=true

在这里插入图片描述

配置数据库持久化

可以选择不配置,不配置就是使用的Nacos默认的derby内嵌数据库,但是为了看加密后的变化,我这里选择使用了mysql

初始化脚本:https://github.com/alibaba/nacos/blob/master/config/src/main/resources/META-INF/nacos-db.sql

spring.datasource.platform=mysql

db.num=1
db.url.0=jdbc:mysql://127.0.0.1:3306/nacos?characterEncoding=utf8&connectTimeout=1000&socketTimeout=3000&autoReconnect=true
db.user=root
db.password=root

在这里插入图片描述

启动后测试看看是否可以访问:

在这里插入图片描述

三、下载插件源码

下载插件源码:https://github.com/nacos-group/nacos-plugin

关于这一步我被坑了好长时间,这个插件他依赖了Nacos源码当中的nacos-common模块,那我们就需要保证下载的nacos版本和插件依赖的版本是保持一致的,不然引入插件后启动nacos直接会启动失败的。

在这里插入图片描述

下载下来的时候他引入的是2.1.0-BETA版本

在这里插入图片描述

而我的nacos下载下来的源码是2.1.1版本,所以一定要让他两个是一个版本,否则nacos引入插件的依赖后,就会出现jar包冲突,然后启动不起来。

在这里插入图片描述

改完之后直接mvn install

四、Nacos源码当中添加依赖

这块其实也有坑,官网说的${nacos-aes-encryption-plugin.version} 可以获取插件的最新版本。压根源码当中没有定义${nacos-aes-encryption-plugin.version} 这个变量。

在这里插入图片描述

所以我们需要在nacos的父工程依赖手动添加nacos-aes-encryption-plugin版本管理。

<properties>
    <nacos-aes-encryption-plugin.version>1.0.0-SNAPSHOT</nacos-aes-encryption-plugin.version>
</properties>

<dependencyManagement>
	<dependencies>
		<dependency>
			<groupId>com.alibaba.nacos</groupId>
			<artifactId>nacos-aes-encryption-plugin</artifactId>
			<version>${nacos-aes-encryption-plugin.version}</version>
		</dependency>
   </dependencies>
</dependencyManagement>

然后在config模块下添加如下依赖:

<dependency>
    <groupId>com.alibaba.nacos</groupId>
    <artifactId>nacos-aes-encryption-plugin</artifactId>
</dependency>

五、打包测试使用

在nacos源码的目录下执行:

mvn -Prelease-nacos -Dmaven.test.skip=true clean install -U

打好后,包路径:nacos\distribution\target

在这里插入图片描述

打完包解压发现后竟然application.properties当中没有刚刚加的mysql配置了。

在这里插入图片描述

我们刚刚改的是console模块下的application.properties,启动运行发现配置文件也生效了,但是打包没生效。其实要想让打包生效需要改这个配置文件。

在这里插入图片描述

包括启动方式也是,默认是集群方式启动,可以 改如下文件,改完之后直接打包,然后就不用再修改了。

在这里插入图片描述

剩下直接通过bin目录下的startup.cmd启动即可

他主要是依靠dataId的命名来区分是否要进行加密的。配置前缀使用cipher-[加密算法名称]-dataId来标识这个配置需要加密,系统会自动识别并加密。例如使用 AES 算法来解密配置:cipher-aes-application-dev.yml

dataId没有加密的时候命名规则是:

公式:${spring.application.name}-${spring.profile.active}.${spring.cloud.nacos.config.file-extension}

然后基于这一点,我们就可以自行测试使用了,这里我直接创建了两个文件,一个是加密的,一个是不加密的:

在这里插入图片描述

存储在数据库如下:一个是明文,一个是加密过后的

在这里插入图片描述

六、项目当中也需要添加依赖

关于springboot当中如何使用Nacos注册中心,本篇就不介绍了,如果不会使用的可以参考这篇文章:https://blog.csdn.net/weixin_43888891/article/details/126680819?spm=1001.2014.3001.5501

因为我们对Nacos进行使用了加密,所以我们连接nacos配置中心的业务代码当中也需要添加加密插件,他得需要依靠加密插件进行解密

我使用的cloud-alibaba 2021.0.1.0+ springboot2.6.8,截止到现在可都是官网推荐的最稳定版本,但是我发现一个问题,我nacos加密之后,项目有时候都起不来了,这是什么原因呢?

在这里插入图片描述

仔细看依赖会发现问题,cloud-alibaba 2021.0.1.0他实际上引入的是nacos1.4.2版本,而我们用的Nacos是2.1.1版本。

在这里插入图片描述

所以我们需要矫正一下依赖版本,将client1.4.2排除,然后引入2.1.1版本,要不然版本不同会报错,出各种问题!

完整的依赖如下:

<properties>
    <maven.compiler.source>8</maven.compiler.source>
    <maven.compiler.target>8</maven.compiler.target>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <springboot.version>2.6.8</springboot.version>
    <springcloud.alibaba.version>2021.0.1.0</springcloud.alibaba.version>
</properties>

<dependencyManagement>
    <dependencies>
        <dependency>
           <groupId>org.springframework.boot</groupId>
           <artifactId>spring-boot-dependencies</artifactId>
           <version>${springboot.version}</version>
           <type>pom</type>
           <scope>import</scope>
       </dependency>
        <dependency>
           <groupId>com.alibaba.cloud</groupId>
           <artifactId>spring-cloud-alibaba-dependencies</artifactId>
           <version>${springcloud.alibaba.version}</version>
           <type>pom</type>
           <scope>import</scope>
        </dependency>
   </dependencies>        
</dependencyManagement>

<dependencies>
    <!--nacos-config-->
    <dependency>
        <groupId>com.alibaba.cloud</groupId>
        <artifactId>spring-cloud-starter-alibaba-nacos-config</artifactId>
        <exclusions>
            <exclusion>
                <groupId>com.alibaba.nacos</groupId>
                <artifactId>nacos-client</artifactId>
            </exclusion>
        </exclusions>
    </dependency>
    <dependency>
        <groupId>com.alibaba.nacos</groupId>
        <artifactId>nacos-client</artifactId>
        <version>2.1.1</version>
    </dependency>
    <!--nacos-discovery-->
    <dependency>
        <groupId>com.alibaba.cloud</groupId>
        <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
    </dependency>
    <!--web + actuator-->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-actuator</artifactId>
    </dependency>
    <!--cloud新版本默认将bootstrap移除了,所以需要添加如下依赖-->
    <dependency>
        <groupId>org.springframework.cloud</groupId>
        <artifactId>spring-cloud-starter-bootstrap</artifactId>
    </dependency>
    <!--切记这个包是本地包,nacos并没有上传中央仓库-->
    <dependency>
        <groupId>com.alibaba.nacos</groupId>
        <artifactId>nacos-aes-encryption-plugin</artifactId>
        <version>1.0.0-SNAPSHOT</version>
    </dependency>
</dependencies>

我要读取这个加密的dev,配置文件如下:

在这里插入图片描述

spring:
  profiles:
    active: dev # 表示开发环境
  application:
    name: application
  cloud:
    nacos:
      # 这个是服务注册
      discovery:
        server-addr: localhost:8848 #Nacos服务注册中心地址
      # 这个是配置中心相关的
      config:
        server-addr: localhost:8848 #Nacos作为配置中心地址
        file-extension: yaml #指定yaml格式的配置,这块就是文件名字后缀,一定要注意
        name: cipher-aes-application #平时都是用application.name当文件名,但是现在有了加密,我们不想让服务名加个cipher-aes不好看,所以通过这个来指定文件名,这样既可以读取到加密的配置文件,然后服务名称又保留了我们想要保留的名字

@RestController
@RefreshScope //在控制器类加入@RefreshScope注解使当前类下的配置支持Nacos的动态刷新功能。
public class ConfigClientController {
    @Value("${config.info}")
    private String configInfo;

    @GetMapping("/config/info")
    public String getConfigInfo() {
        return configInfo;
    }
}

在这里插入图片描述

怪 咖@
关注
  • 13
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Nacos配置中心的敏感数据加密处理
一只没有脚的鸟
03-27 1352
本文介绍了两种数据库配置加密方式,邮箱配置加密及其他的配置加密方式。算是提供了一个思路,希望可以帮到大家,看到这里希望你给个大大的赞😊。
nacos-aes加密版使用
02-20
nacos-aes加密版使用
springBoot配置文件账号密码加密存储(springCloud nacos)_nacos配置文件配置账号密码(1)
2401_84183033的博客
04-10 2131
在Application启动主类中加入启动注解 @EnableEncryptablePropertiesjasypt: encryptor:password: 06d698b3d86f519ealgorithm: PBEWithHmacSHA512AndAES_128注:加密因子password配置在配置文件中也会涉及到安全问题,更安全的做法是:将其作为系统环境变量的方式来带入。修改如下:本地启动可按下图配置:找到jasypt.jar包,在此文件夹下执行以下命令行:java -cp jasypt-1.9.3
Nacos 2.x 系列【12】配置加密插件
最新发布
记录知识、锤炼自我
05-28 1319
为保证用户敏感配置数据的安全,Nacos提供了配置加密的新特性。降低了用户使用的风险,也不需要再对配置进行单独的加密处理。
微服务nacos或者yml配置内容部分加密jasypt
m0_49605579的博客
08-31 2396
【代码】微服务nacos或者yml配置内容部分加密jasypt。
Nacos 中的配置文件如何实现加密传输
mxt51220的博客
11-21 3060
小伙伴们知道,Spring Cloud Config 很早就提供了配置文件的加解密功能,并且支持对称加密和非对称加密两种不同的模式。Nacos 作为分布式配置中心+服务注册中心的合体,在配置文件加密这块一直差点意思,不过好在,如果你使用的 Nacos 版本大于 2.0.4 这个版本,那么现在也可以通过插件的方式来实现配置文件加密了。
nacos连接mysql数据库并使用sm4加密数据库密码
qq_41747412的博客
04-06 2608
nacos数据库密码加密
nacos配置加密简单实现Jaspyt
m0_46577241的博客
01-26 2247
快速Nacos上实现配置加密,可以使用Jaspyt库来简化实现。Jaspyt是一个Java库,可以用来实现简单的加密和解密操作。以下是在Nacos配置中使用Jaspyt进行加密的简单实现步骤:步骤1:添加依赖项 在项目的构建文件pom.xml中添加Jaspyt库的依赖项。如果是有公共服务模块可以直接引入公共服务总任意模块的pom文件中Maven: 步骤2:创建密钥 创建一个密钥,在应用程序中使用该密钥对配置进行加密和解密操作。设置配置配置必须在其他配置之前生效执行 bootstrap.yml 比conf
spring cloud alibaba使用nacos账号密码加密
hlvy
02-15 4258
spring cloud alibaba使用nacos 密码加密
Nacos配置中心支持加密配置项动态刷新
weixin_41599977的博客
05-31 3704
问题描述 通过jasypt对Nacos中的敏感配置项经行加密处理后,首次通过Nacos配置中心获取配置,可以正常解密ENC(XXXX),修改配置中心中的任意配置,触发配置刷新后,无法正常解密,配置内容变为ENC(XXXX)。 注:在实现功能的时候,查阅了很多资料,最终参考了https://www.cnblogs.com/flying607/p/12520009.html中的方法,但是在实际应用过程中,按照他的方法并未达到预期的效果,可能是版本原因....吧,未深究,所以自己debug一遍,在合适的位子进行
配置文件加密
weixin_52195362的博客
01-30 656
SpringBoot中对配置文件进行加密处理
nacos配置中心配置.docx
11-28
Nacos是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。把java项目的配置信息抽离出来
Spring Cloud 配置中心内容加密的配置方法
08-27
本文将详细介绍如何在Spring Cloud配置中心内容进行加密,以确保数据的安全。 首先,我们要解决的是Java Cryptography Extension (JCE)的限制问题。JDK默认的JCE可能对某些加密算法的密钥长度有限制。为了支持更...
配置文件内容加密jasypt demo
12-14
总之,使用jasypt对Spring Boot的配置文件内容进行加密,可以有效保护敏感信息,增强应用的安全性。通过简单的几步操作,就能确保即使配置文件被泄露,攻击者也无法直接获取到明文数据,从而降低了安全风险。
Spring Boot 在启动时进行配置文件加解密
08-19
Spring Boot 在启动时进行配置文件加解密是指在 Spring Boot 应用程序启动时对配置文件进行加解密的过程。在这个过程中,Spring Boot 会读取 application.yml 文件,并触发一个事件,监听器会捕捉到这个事件,并对...
Nacos2.0.4 本地数据库连接进行ENC加密
07-12
Nacos中,对本地数据库连接进行ENC加密是确保数据安全的重要环节,尤其是在分布式系统中,敏感信息如数据库连接字符串、密码等需要得到妥善保护。 一、Nacos数据库连接加密的重要性 在分布式环境中,Nacos存储了...
nacos2.0.4版本使用RSA算法加密之后的源码,可以直接使用。
04-05
内容概要:nacos2.0.4版本使用RSA算法加密之后的源码,可以直接使用。下载nacos源码之后进行代码编写,修改了前端用户名和密码加密传输,后端使用RSA算法将收到的信息进行解码判断。内容包含源代码、打包之后的zip...
Nacos鉴权和配置加密—官方原版
热门推荐
深圳市多克创新科技有限公司
02-08 1万+
Nacos鉴权和配置加密
nacos 配置中心加密
07-27
Nacos配置中心提供了配置文件加密功能,可以对配置文件中的敏感信息进行加密处理。这样可以保护敏感信息,如数据库连接方式或第三方存储系统的相关信息。在Nacos的2.1版本中,新增了配置文件加密功能,无需自己实现,可以轻松实现配置内容的AES加密。\[1\] 要使用Nacos配置中心加密功能,可以在启动配置类bootstrap.yml中添加相关信息。可以通过自定义加解密类来实现加解密操作,也可以使用jasypt默认的StringEncryptor进行加解密。在配置文件中添加jasypt的相关配置,包括加解密类的bean和盐值。\[2\] 配置文件会存储在Nacos的config_info表中,配置内容存储在content字段中。如果配置了加密,content字段中存储的是密文,但在Nacos客户端展示配置时会以明文形式显示。这样可以保证配置的安全性,同时方便查看配置内容。\[3\] #### 引用[.reference_title] - *1* *3* [【Nacos配置中心】对配置文件内容进行加密](https://blog.csdn.net/weixin_43888891/article/details/126783468)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [nacos配置文件中敏感信息加密](https://blog.csdn.net/goldenminers/article/details/120488006)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怪 咖@

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值