jasypt集成spring-boot原理解析

最新推荐文章于 2024-07-27 19:41:29 发布
最新推荐文章于 2024-07-27 19:41:29 发布
阅读量2.4k 收藏 20
点赞数 26
分类专栏: SpringBoot 文章标签: jasypt 加解密 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsgnzb/article/details/135758007
版权

背景

每个应用都有很多配置项,有些配置项对外非常敏感,例如数据库连接密码、私钥等。使用明文存在泄露的风险,生产环境要配合加密算法。jasypt是一个方便、流行的加密工具,支持PBE、AEC和对称加密。它与spring-boot的集成度很高,可以方便的为spring-boot属性进行加解密。

使用方式

要使用jayspt要引入pom文件:

<dependency>
    <groupId>org.jasypt</groupId>
    <artifactId>jasypt</artifactId>
    <version>1.9.3</version>
</dependency>

以PBE加密为例,要先初始化Encryptor 对象,然后对“abc”进行加解密。

public class EncryptionDemo {
    public static void main(String[] args) {
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword("123");
        encryptor.setConfig(config);

        String rawMsg = "abc";
        String encryptedMsg = encryptor.encrypt(rawMsg);
        System.out.println(rawMsg + " = " + encryptedMsg);
				// abc = tgjLqtpTOf7z6IC+xE9r+w==

        String decryptedMsg = encryptor.decrypt(encryptedMsg);
        System.out.println(encryptedMsg + " = " + decryptedMsg);
				// tgjLqtpTOf7z6IC+xE9r+w== = abc
    }
}

可以看到“abc”加密后结果是“tgjLqtpTOf7z6IC+xE9r+w==”,解密后还是“abc”。并且同样的“abc”参数,每次加密的结果都不一样,但解密的结果是一样的。

集成spring-boot

加解密功能已经有了,接下来怎么集成到spring-boot上,将spring-boot里的配置项自动解密?

由于spring-boot的配置项是放在PropertySource里,jasypt通过生成PropertySource的代理对象。后面从PropertySource获取属性时,先通过jasypt先解密,再返回解密后的值。

下面再看一下jasypt具体是怎么实现的代理,先引入对应的pom文件:

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.5</version>
</dependency>

生成代理对象

这个starter通过SPI的方式,自动加载了EnableEncryptablePropertiesConfiguration配置类,这个类里注册了jasypt自己的BeanFactoryPostProcessor 。它里面的功能就是拿到ConfigurableEnvironment 里的MutablePropertySourcesMutablePropertySources 里包含所有的PropertySource。把PropertySource包装成自己的EncryptablePropertySource ,然后替换掉原来的PropertySource。

// com.ulisesbocchio.jasyptspringboot.EncryptablePropertySourceConverter
public void convertPropertySources(MutablePropertySources propSources) {
    propSources.stream()
            .filter(ps -> !(ps instanceof EncryptablePropertySource))
						// makeEncryptable方法会将PropertySource替换成EncryptablePropertySource的子类
            .map(this::makeEncryptable)
            .collect(toList())
            .forEach(ps -> propSources.replace(ps.getName(), ps));
}

// 这里还分两种代理方式,一种是Proxy,一个是Wrapper
private <T> PropertySource<T> convertPropertySource(PropertySource<T> propertySource) {
    return interceptionMode == InterceptionMode.PROXY
            ? proxyPropertySource(propertySource) : instantiatePropertySource(propertySource);
}

// Proxy会通过Spring的AOP生成代理对象
private <T> PropertySource<T> proxyPropertySource(PropertySource<T> propertySource) {
    //can't be proxied with CGLib because of methods being final. So fallback to wrapper for Command Line Arguments only.
    if (CommandLinePropertySource.class.isAssignableFrom(propertySource.getClass())
            // Other PropertySource classes like org.springframework.boot.env.OriginTrackedMapPropertySource
            // are final classes as well
            || Modifier.isFinal(propertySource.getClass().getModifiers())) {
        return instantiatePropertySource(propertySource);
    }
    ProxyFactory proxyFactory = new ProxyFactory();
    proxyFactory.setTargetClass(propertySource.getClass());
    proxyFactory.setProxyTargetClass(true);
    proxyFactory.addInterface(EncryptablePropertySource.class);
    proxyFactory.setTarget(propertySource);
    proxyFactory.addAdvice(new EncryptablePropertySourceMethodInterceptor<>(propertySource, propertyResolver, propertyFilter));
    return (PropertySource<T>) proxyFactory.getProxy();
}

// Wrapper会跟进原始的PropertySource类型,生成对应的包装类
private <T> PropertySource<T> instantiatePropertySource(PropertySource<T> propertySource) {
    PropertySource<T> encryptablePropertySource;
    if (needsProxyAnyway(propertySource)) {
        encryptablePropertySource = proxyPropertySource(propertySource);
    } else if (propertySource instanceof SystemEnvironmentPropertySource) {
        encryptablePropertySource = (PropertySource<T>) new EncryptableSystemEnvironmentPropertySourceWrapper((SystemEnvironmentPropertySource) propertySource, propertyResolver, propertyFilter);
		} else if (propertySource instanceof MapPropertySource) {
        encryptablePropertySource = (PropertySource<T>) new EncryptableMapPropertySourceWrapper((MapPropertySource) propertySource, propertyResolver, propertyFilter);
    } else if (propertySource instanceof EnumerablePropertySource) {
        encryptablePropertySource = new EncryptableEnumerablePropertySourceWrapper<>((EnumerablePropertySource) propertySource, propertyResolver, propertyFilter);
    } else {
        encryptablePropertySource = new EncryptablePropertySourceWrapper<>(propertySource, propertyResolver, propertyFilter);
    }
    return encryptablePropertySource;
}

后面从MutablePropertySources 获取属性的时候,实际上调用的是EncryptablePropertySourceObject getProperty(String name) 方法。

解析属性流程

以applicaiton.properties文件里的配置项为例,它是OriginTrackedMapPropertySource类型,属于MapPropertySource 的子类,会被jasypt包装成EncryptableMapPropertySourceWrapper

想在获取OriginTrackedMapPropertySource 里的属性,会先调用EncryptableMapPropertySourceWrappergetProperty(String name) 方法。

EncryptableMapPropertySourceWrapper 会将请求转交给代理对象CachingDelegateEncryptablePropertySource 。因为CachingDelegateEncryptablePropertySource 会将解析的结果放到Map<String, CachedValue> cache 缓存对象里,避免重复解析。

然后,CachingDelegateEncryptablePropertySource 会将加密内容交给DefaultLazyPropertyResolver 解密配置项。从名字就可以看出,DefaultLazyPropertyResolver 是为了延迟初始化,实际上它包装了DefaultPropertyResolver ,这是默认jasypt的解析器。

DefaultPropertyResolver 先加加密内容执行spring的占位符解析,例如解析${my.password},得到“ENC(tgjLqtpTOf7z6IC+xE9r+w==)”,再对”ENC(tgjLqtpTOf7z6IC+xE9r+w==)”进行解密。

DefaultPropertyResolver 内部调用DefaultLazyEncryptor ,通过延迟加载的方式得到默认的加密机类型。这时会根据上下文配置,选择是使用PBE、AEC还是对称加密。

// com.ulisesbocchio.jasyptspringboot.configuration.StringEncryptorBuilder
public StringEncryptor build() {
		// 包含jasypt.encryptor.password就使用PBE
    if (isPBEConfig()) {
        return createPBEDefault();
		// 包含jasypt.encryptor.privateKeyString相关的配置就使用非对称加密
    } else if (isAsymmetricConfig()) {
        return createAsymmetricDefault();
		// 包含jasypt.encryptor.gcmSecretKeyString相关配置就使用GCM加密
    } else if (isGCMConfig()) {
        return createGCMDefault();
    } else {
        throw new IllegalStateException("either '" + propertyPrefix + ".password', one of ['" + propertyPrefix + ".private-key-string', '" + propertyPrefix + ".private-key-location'] for asymmetric encryption, or one of ['" + propertyPrefix + ".gcm-secret-key-string', '" + propertyPrefix + ".gcm-secret-key-location', '" + propertyPrefix + ".gcm-secret-key-password'] for AES/GCM encryption must be provided for Password-based or Asymmetric encryption");
    }
}

以PBE为例,这里方法的就是PooledPBEStringEncryptor 对象。它内部有多个StandardPBEStringEncryptor 组成一个池子,可以提升加密性能。最后会按顺序获得一个StandardPBEStringEncryptor ,调用decrypt(final String encryptedMessage) 方法进行解密。

总结

jasypt通过BeanFactoryPostProcessor 代理了所有的PropertySource,在获取属性之前,对属性进行解密。过程中涉及到了几个对象:

  • EncryptablePropertySource 是PropertySource的包装类
  • CachingDelegateEncryptablePropertySource 缓存了解密结果
  • EncryptableMapPropertySourceWrapperMapPropertySource 的包装类
  • DefaultPropertyResolver 先解析Spring的占位符
  • DefaultLazyPropertyResolver 实现了延迟加载DefaultPropertyResolver 对象
  • StandardPBEStringEncryptor 是PBE加密机
  • PooledPBEStringEncryptor 通过池化StandardPBEStringEncryptor 提升并发度

引用

jasypt的github:https://github.com/ulisesbocchio/jasypt-spring-boot?tab=readme-ov-file

李昂的数字之旅
关注
专栏目录
SpringBoot-加密组件jasypt-spring-boot-starter
zym_1321的博客
01-04 7091
1、pom.xml增加依赖 <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.3</version> </dependency> 2、yml增加配置 jasypt: encryptor: alg
SpringBoot项目整合jasypt实现过程详解
08-24
主要介绍了SpringBoot项目整合jasypt实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringBootSpringBoot整合jasypt进行重要数据加密
qq_61024956的博客
05-15 3279
Jasypt(Java Simplified Encryption)是一个专注于简化Java加密操作的开源工具。它提供了一种简单而强大的方式来处理数据的加密和解密,使开发者能够轻松地保护应用程序中的敏感信息,如数据库密码、API密钥等。Jasypt的设计理念是简化加密操作,使其对开发者更加友好。它采用密码学强度的加密算法,支持多种加密算法,从而平衡了性能和安全性。
SpringBoot3:轻松使用Jasypt实现配置文件信息加密
最新发布
weixin_73588491的博客
07-27 6418
对于一些单体项目而言,在没有使用SpringCloud的情况下,配置文件中包含着大量的敏感信息,比如数据库的账号密码、API服务的秘钥等等,如果这些信息泄露出去将会对企业的数据资产产生重大威胁。因此,对配置文件中的敏感信息加密是一件必要的事。Jasypt是一个易于使用的Java库,专门用于加密和解密配置文件中的敏感信息,如数据库凭据、API密钥等。它提供了一种安全的方式来存储和管理配置文件中的敏感数据,而不是以明文形式暴露。
spring boot使用jasypt加密原理解析
热门推荐
u013905744的专栏
01-16 3万+
首先介绍一下jasypt的使用方法 可以参考下面这篇文章: Get史上最优雅的加密方式!没有之一! 版本对应的坑 使用的时候还是遇到一个坑,就是jasypt的版本与spring boot版本存在对应情况。可以看到jasypt是区分java7和java8的,也存在依赖spring版本的情况。 自己尝试了一下 在使用jasypt-spring-boot-starter的前提下 j...
Jasypt加密解密:Java Simplified Encryption
wsdhla的专栏
01-21 1385
Jasypt:Java Simplified Encryption
SpringBoot集成jasypt
u013305830的专栏
02-16 248
配置文件加密,Springbootjasypt
springboot整合jasypt
Alex_Drag的博客
07-28 4876
springboot整合jasypt3.0.4
【Java】springboot整合jasypt
Passer_hua的博客
02-18 985
jasypt保证项目中的账号密码不以明文的形式展示。
Spring Boot集成Jasypt安全框架
weixin_34092455的博客
09-05 111
Jasypt安全框架提供了Spring集成,主要是实现 PlaceholderConfigurerSupport类或者其子类。 在Sring 3.1之后,则推荐使用PropertySourcesPlaceholderConfigurer类作为属性替换配置类,这里Spring集成Jasypt则使用Jasypt对属性替换配置类的实现。EncryptablePropertySourcesPlace...
Spring Boot整合Jasypt 库实现配置文件和数据库字段敏感数据的加解密
傲泣龙腾的博客
06-05 7279
在我们日常开发中,很多时候为了保证数据的安全,在处理敏感数据前后端数据传输数据库敏感数据入库等,数据的加密和解密是不可忽视的重要环节,特别是一些政企项目这点就尤为重要,避免每一次安全审计后反复的调整,所以在系统设计之初我们就应当把数据安全的问题考虑进去!今天博主就给大家详细介绍的功能,并展示如何在项目中实现各种加解密操作Jasypt(Java Simplified Encryption)是一个用于加密和解密数据的Java库。它提供了简单易用的API,可以轻松地将加密功能集成到Java应用程序中。
传统Java Web(非Spring Boot)、非Java语言项目接入Spring Cloud方案
王鸿飞的专栏
04-11 1万+
技术架构在向Spring Cloud转型时,一定会有一些年代较久远的项目,代码已变成天书,这时就希望能在不大规模重构的前提下将这些传统应用接入到Spring Cloud架构体系中作为一个服务以供其它项目调用。这时我们就需要使用原生的Eureka/Ribbon手动完成注册中心、查询服务列表功能。如果是非Java项目,可以使用 Spring Sidecar 项目接入Spring Cloud形成异构系统,
(三)传统Java Web项目(非Spring Boot项目、老版本项目)接入Spring Cloud环境方案
白菜的专栏
07-06 5807
版权声明:本文为博主原创文章,版权归烟台华东数据科技有限公司与博主本人共同所有。烟台华东数据科技有限公司及其下属机构毋须博主授权即可在任意用途下转载、使用! 目录 前言 解决方案思路 具体实现 Eureka提供的apps信息 实体类 自定义异常类 关键的处理类 配置文件 导入传统Java Web程序 演示示例 总结 前言 也许因为很多原因,也许是公司框架升级,...
spring security 4.0 步步深入 1-4
blurooo的博客
11-03 8582
本教程的后面部分提供了对Spring Security框架架构和实现类的深入讨论,当有需要进行一些深度的自定义时可以着重阅读。在这一部分,我们将介绍Spring Security 4.0,简要概述它的历史,并稍微考虑一下如何开始使用框架。此外,我们将看看命名空间配置,它提供了一种比传统的Spring bean方法更简单的保护应用的方法,你再也不必单独连接所有实现类。我们还将查看可用的示例应用程序。尝试运行并实验这部分
SpringSecurity
孙荣达的博客
03-28 986
第一章 SpringSecurity-简介 1. 简介 https://docs.spring.io/spring-security/site/docs/4.2.10.RELEASE/guides/html5/helloworld-xml.html SpringSecurity融合Spring技术栈,提供JavaEE应 用的整体安全解决方案; Spring Security为基于Java EE的...
jasypt-spring-boot-starter实现加解密和数据返显
m0_37635053的博客
06-26 1万+
jasypt-spring-boot-starter实现加解密和数据返显 一、jasypt-spring-boot-starterspringboot中的加解密(默认加密法) ①、导包 <!--实现自动 加密解密--> <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-sprin
Springboot 整合 jasypt
weixin_49390750的博客
08-23 424
Springboot 整合 jasypt
spring boot 集成jasypt对配置文件内容进行加密
a360284634的博客
06-18 369
jasypt使用,spring boot集成jasypt 对数据库密码加密
jasypt-spring-boot-start
04-25
jasypt-spring-boot-starter是一个用于在Spring Boot应用中轻松集成Jasypt(Java Simplified Encryption)的启动器。Jasypt是一个Java加密库,用于对敏感数据进行加密和解密操作。通过使用jasypt-spring-boot-starter,您可以方便地将加密的属性值配置到Spring Boot应用程序中,以保护敏感信息,例如数据库密码、API密钥等。 jasypt-spring-boot-starter提供了以下主要功能: 1. 自动配置:启动器会自动配置Jasypt相关的加密和解密实现。 2. 加密属性值:您可以在应用的配置文件中使用Jasypt的语法来加密属性值。例如,可以将数据库密码加密,并在配置文件中使用加密后的值。 3. 解密属性值:启动器会自动解密配置文件中的加密属性值,使其在应用程序中可用。 使用jasypt-spring-boot-starter可以帮助您轻松地保护敏感信息,提高应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李昂的数字之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值