springboot加密密码等敏感信息

最新推荐文章于 2024-06-11 13:29:43 发布
最新推荐文章于 2024-06-11 13:29:43 发布
阅读量308 收藏
点赞数 1
分类专栏: java 文章标签: springboot 配置文件加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44928809/article/details/100010476
版权

springboot配置文件敏感信息加密


最近项目在渗透测试和代码检查,配置文件中的敏感信息竟然要加密,由于CAS中很多配置都是默认配置自动加载,不容易写代码来加载属性,后来在github上找到一个对springboot配置文件进行加密解密的工具–jasypt

首先写在pom文件中引入jasypt的依赖

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.0.0</version>
</dependency>

然后在application中配置加密的密钥:

# 配置加密的密钥
jasypt.encryptor.password=kkk

# 在测试类中写入写一个加密的测试方法
```java
public class EncryptPasswdApplicationTests {

    @Autowired
    StringEncryptor stringEncryptor;
    
    @Test
    public void encryptPwd() {
        String password="manager05";//要加密的密码
        String result = stringEncryptor.encrypt(password);
        //打印结果
        System.out.println(result);
    }
}

打印加密之后的密码:
在这里插入图片描述

对敏感信息进行加密

这里使用的是ldap来测试,如果加密后的密码可以连接上ldap则配置文件加密成功,将打印出来的密文密码粘贴到配置文件中的相应位置:

spring.ldap.urls=ldap://172.16.**.**:13601
spring.ldap.base=ou=User,dc=**,dc=com
spring.ldap.username=***
#spring.ldap.password=manager05
spring.ldap.password=ENC(/jZwF1GsriJL60XofakOia+jP0RLtq5O)

运行测试方法getSize()获取ldap中所有的用户数量,如果可以获取到数量则说明ldap连接成功。
在这里插入图片描述
在这里插入图片描述
运行之后可以发现已经获取到ldap的用户数量,则说明springboot中application.xml中敏感信息已经加密且在加载时解密。而且encrypt()加密

weixin_44928809
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot 配置文件敏感信息加密
jeikerxiao
07-19 5595
说明 使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。 打开application.properties或application.yml,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。 jasypt由一个国外大神写了一个springboot下的工具包,用来加密配置...
关于SpringBoot项目配置敏感信息加密问题处理方法
cuixhao110的博客
07-20 809
关于SpringBoot项目配置敏感信息加密问题处理方法 前言 SpringBoot项目配置文件一般是properties或者yml文件,项目打包的时候JVM是不进行编译处理的,目前项目中关于类似数据库地址、用户名、密码等都是明文,很容易泄露,造成损失。此文针对于这个问题提供一种解决方案,仅供参考。 技术方案 这里提供一种加解密的技术方案,来提高属性配置的安全性。利用到jasypt包,Gi...
springboot 敏感信息加密
坤的博客
05-05 171
1. 引入依赖jar包 这个jar是一个人基于 jasypt 进行封装的starter 主要的作用是 实现敏感信息加密 <!--springboot加密--> <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId
Spring Boot 配置文件敏感信息加密
最新发布
2401_83384536的博客
06-11 142
打开application.properties或application.yml,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。由一个国外大神写了一个springboot下的工具包,用来加密配置文件中的信息。在profile文件末尾插入salt(盐)变量。注意: 上面的 ENC() 是固定写法。部署时配置salt(盐)值。
Spring boot带来的信息泄露
热门推荐
就是我的博客
05-05 1万+
一、什么是Actuator Spring Boot Actuators 模块端点信息官方文档: Spring Boot Actuator Web API Documentation Spring Boot Actuator 模块提供了健康检查,审计,指标收集,HTTP 跟踪等,是帮助我们监控和管理Spring Boot 应用的模块。这个模块采集应用的内部信息,展现给外部模块,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的..
SpringBoot(七)SpringBoot整合Druid实现数据库密码加密.pdf
03-07
为了防止这些敏感信息被泄露,通常需要采取措施来保护这些信息。本文将详细介绍如何在Spring Boot项目中整合Druid连接池,并通过非对称加密技术加密数据库密码,从而提高系统的安全性。 #### 二、项目搭建与环境...
springboot之yml配置文件信息加密.docx
03-01
在项目中引入 Jasypt 的 jar 包 org.jasypt:iasypt:1.9.2,使用 StringEncryptor 接口中的 encrypt 方法对敏感信息进行加密加密时设置好密钥(password),然后调用 encrypt 方法通过 PBEWithMD5AndDES 算法来...
java中关于Springboot加密 md5加密,注册密码加密到数据库中的关键语句,md5加密语句.pdf
12-16
在Java和Spring Boot开发中,数据安全是至关重要的,尤其是涉及到用户敏感信息密码时。MD5(Message-Digest Algorithm 5)是一种广泛使用的哈希函数,它将任意长度的数据转化为固定长度的输出,通常用于数据校验和...
SpringBoot Shiro配置自定义密码加密器代码实例
08-19
4. 加密(Cryptography):提供了多种加密算法,保护用户的密码敏感信息。 5. Web 支持(Web Support):提供了与 Web 应用程序集成的支持。 6. 缓存(Caching):提供了缓存机制,提高应用程序的性能。 7. 多线程...
数据库密码配置加密操作步骤.doc
07-15
数据库密码配置加密操作步骤 Spring Boot 中数据库账号密码加密操作是指在 Spring Boot ...数据库密码配置加密操作是保护数据库账号密码的重要手段,通过使用 Jasypt 或 Druid 等加密库,可以有效地保护敏感信息
泄漏服务:带有故意内存泄漏的Spring Boot应用程序
02-17
泄漏服务 一个带有故意内存泄漏的Spring Boot应用程序。
Spring Boot框架敏感信息泄露的完整介绍与SRC实战(附专属字典与PoC)
qq_50854662的博客
10-04 7104
转载于:https://www.freebuf.com/vuls/289710.html #前言##Spring Boot框架介绍Spring框架功能很强大,但是就算是一个很简单的项目,我们也要配置很多东西。因此就有了Spring Boot框架,它的作用很简单,就是帮我们自动配置,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。Spring Boot框架的核心就是自动配置,只要存在相应的jar包,Spring就帮我们自动配置。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的
记一次SpringBoot信息泄漏
weixin_51721627的博客
06-12 4229
质量欠佳,大佬轻喷
springboot敏感配置信息加密处理
SugarCharlotter的博客
08-17 349
springboot敏感配置信息加密处理 springboot中的配置信息主要卸载application.properties文件中,主要配置了一些数据库的连接、redis配置等等,一般在企业生产中,会将这部分信息进行加密处理。 使用了jasypt类库 官网地址 也可以在maven中引入依赖: <!-- jasypt-spring-boot-starter --> <dependency> <groupId>com.github.ulisesbocc
如何保护SpringBoot配置文件中的敏感信息
高性价比服务器就选:蓝易云
04-13 207
因此,保护这些敏感信息至关重要。同时,保护敏感信息是一个持续的过程,需要定期审计和更新你的安全策略。它是一个集中化配置服务器,支持从各种源(如git、svn、本地文件系统等)读取配置信息,并支持对敏感数据进行加密。: Spring Boot支持外部化配置, 这意味着我们可以将所有与生产环境相关联但又包含安全风险(如数据库连接、第三方服务凭证)等内容放到项目之外,在运行时动态加载。: 如果你的应用部署在Docker或Kubernetes环境中,可以使用它们提供的Secrets机制来管理敏感信息
app渗透实战案例—Spring Boot Actuator未授权到脱库
good good study
12-09 7370
目录 前言 测试过程 查找敏感信息 Heapdump获取密码信息 前言 今天在做app渗透测试的时候,发现网站使用了Spring Boot框架。其存在一个未授权访问漏洞,通过寻找敏感字段获取了数据库地址和用户名,以及寻找密码获取了数据库连接密码直接拿下了数据库 测试过程 对app抓包,请求了一些服务器地址,我们将地址复制出来在浏览器访问 其中一个地址访问出现如下所示的页面,那么可以判断其使用了Spring Boot框架,Spring Boot框架是最流行的基于Java的微服务框架之一,
Springboot项目使用jasypt加密配置文件中的敏感信息
lzhfdxhxm的博客
09-15 4179
项目背景 Spring Boot 2.0.8 在项目中,经常需要在配置文件里配置一些敏感信息,比如数据库用户名和密码,redis、mq的连接信息等。如果直接写明文,很容易造成密码泄露等安全问题。 jasypt简介 Jasypt 是一个 Java 库,它允许开发者以最小的努力为他/她的项目添加基本的加密功能,而且不需要对密码学的工作原理有深刻的了解。 jasypt 和spring boot的版本对应关系
SpringBoot 实现数据加密脱敏(注解 + 反射 + AOP)
m0_71777195的博客
08-03 1463
场景:响应政府要求,商业软件应保证用户基本信息不被泄露,不能直接展示用户手机号,身份证,地址等敏感信息。根据上面场景描述,我们可以分析出两个点。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值