jasypt 配置文件加解密

已于 2022-09-08 16:37:55 修改
阅读量3.7k 收藏 9
点赞数 4
分类专栏: 信息安全 Java 文章标签: java 信息安全 jasypt
于 2022-09-08 16:26:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyy1028/article/details/126766959
版权

一.简要描述

  • Spring boot配置文件中的用户名密码等配置文件一般情况下是明文保存的,这样就隐藏了密码泄露的安全隐患,所以一般都要求将密码加密后保存配置的,我们可以使用 jasypt 对 Springboot 应用中的密码进行加密。

二.引入 maven 依赖

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.4</version>
</dependency>

三.密码原文加密

1. 采用 cmd 命令行方式加密解密

  • 从本地maven库中找到jar包
.m2\repository\org\jasypt\jasypt\1.9.3

1.1 常用参数:

  • input: 密码原文
  • password: 加解密秘钥
  • algorithm: 采用的算法
  • ivGeneratorClassName: 生成器类名
  • keyObtentionIterations: 迭代次数, 默认 1000

1.2 执行 cmd 加解密命令

比如用户名和密码分别是 root 和 123zxcv

1.2.1 采用算法 PBEWITHHMACSHA512ANDAES_256 执行加密命令:
java -cp jasypt-1.9.3.jar  org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=haha algorithm=PBEWITHHMACSHA512ANDAES_256 ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000

E:\>java -cp jasypt-1.9.3.jar  org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="123zxcv" password=haha algorithm=PBEWITHHMACSHA512ANDAES_256 ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000

----ENVIRONMENT-----------------

Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.201-b09



----ARGUMENTS-------------------

ivGeneratorClassName: org.jasypt.iv.RandomIvGenerator
algorithm: PBEWITHHMACSHA512ANDAES_256
input: 123zxcv
password: haha
keyObtentionIterations: 10000



----OUTPUT----------------------

/t8E+snZ4ODAwQU9gj0eA6MRnL98PHEGJVtOYN44wzmNKqHrY0TciomqfQg2qb2w

OUTPUT输出参数则为密文

1.2.2 采用算法 PBEWithMD5AndDES 执行加密命令:
java -cp jasypt-1.9.3.jar  org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=haha algorithm=PBEWithMD5AndDES ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000

E:\>java -cp jasypt-1.9.3.jar  org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=haha algorithm=PBEWithMD5AndDES ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000

----ENVIRONMENT-----------------

Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.201-b09



----ARGUMENTS-------------------

ivGeneratorClassName: org.jasypt.iv.RandomIvGenerator
algorithm: PBEWithMD5AndDES
input: root
password: haha
keyObtentionIterations: 10000

----OUTPUT----------------------

gf0gosWSje2GwnF6KWKHbaUDeI1PLo1K

1.3 执行解密命令

1.3.1 采用算法 PBEWITHHMACSHA512ANDAES_256 执行解密命令:
java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="/t8E+snZ4ODAwQU9gj0eA6MRnL98PHEGJVtOYN44wzmNKqHrY0TciomqfQg2qb2w" password=haha  algorithm=PBEWITHHMACSHA512ANDAES_256 ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000

E:\>java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="/t8E+snZ4ODAwQU9gj0eA6MRnL98PHEGJVtOYN44wzmNKqHrY0TciomqfQg2qb2w" password=haha  algorithm=PBEWITHHMACSHA512ANDAES_256 ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000

----ENVIRONMENT-----------------

Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.201-b09



----ARGUMENTS-------------------

ivGeneratorClassName: org.jasypt.iv.RandomIvGenerator
algorithm: PBEWITHHMACSHA512ANDAES_256
input: /t8E+snZ4ODAwQU9gj0eA6MRnL98PHEGJVtOYN44wzmNKqHrY0TciomqfQg2qb2w
password: haha
keyObtentionIterations: 10000



----OUTPUT----------------------

123zxcv
1.3.2 采用算法 PBEWithMD5AndDES 执行解密命令:
java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="gf0gosWSje2GwnF6KWKHbaUDeI1PLo1K" password=haha  algorithm=PBEWithMD5AndDES ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000

E:\>java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="gf0gosWSje2GwnF6KWKHbaUDeI1PLo1K" password=haha  algorithm=PBEWithMD5AndDES ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000

----ENVIRONMENT-----------------

Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.201-b09



----ARGUMENTS-------------------

ivGeneratorClassName: org.jasypt.iv.RandomIvGenerator
algorithm: PBEWithMD5AndDES
input: gf0gosWSje2GwnF6KWKHbaUDeI1PLo1K
password: haha
keyObtentionIterations: 10000



----OUTPUT----------------------

root

2 java 代码加解密

package com.ashen.heihei.util;


import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;


/**
 *  Jasypt加解密工具类
 * @author HY
 */
public class JasyptUtil {

    private static final String PBEWITHMD5ANDDES = "PBEWithMD5AndDES";

    private static final String PBEWITHHMACSHA512ANDAES_256 = "PBEWITHHMACSHA512ANDAES_256";


    public static void main(String[] args) {
        String secret1 = encryptWithMD5("root", "haha");
        System.out.println(secret1);
        String name1 = decryptWithMD5(secret1, "haha");
        System.out.println(name1);

        String secret2 = encryptWithMD5("123zxcv", "haha");
        System.out.println(secret2);
        String name2 = decryptWithMD5(secret2, "haha");
        System.out.println(name2);
    }


    /**
     *  jasypt 加密(PBEWithMD5AndDES)
     * @param message 待加密的原文
     * @param password 加解密秘钥
     * @return
     */
    public static String encryptWithMD5(String message, String password) {
        // 1. 创建加解密工具实例
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        // 2. 加解密配置
        EnvironmentStringPBEConfig config = new EnvironmentStringPBEConfig();
        config.setAlgorithm(PBEWITHMD5ANDDES);
        config.setPassword(password);
        // 设置迭代次数
        config.setKeyObtentionIterations( "10000");
        // 为减少配置文件的书写,以下都是 Jasyp 3.x 版本,配置文件默认配置
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        // 3. 加密
        return encryptor.encrypt(message);
    }


    /**
     *  jasypt 解密(PBEWithMD5AndDES)
     * @param encryptedMessage 待解密的原文
     * @param password 加解密秘钥
     * @return
     */
    public static String decryptWithMD5(String encryptedMessage, String password) {
        // 1. 创建加解密工具实例
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        // 2. 加解密配置
        EnvironmentStringPBEConfig config = new EnvironmentStringPBEConfig();
        config.setAlgorithm(PBEWITHMD5ANDDES);
        config.setPassword(password);
        // 设置迭代次数
        config.setKeyObtentionIterations( "10000");
        // 为减少配置文件的书写,以下都是 Jasyp 3.x 版本,配置文件默认配置
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        // 3. 解密
        return encryptor.decrypt(encryptedMessage);
    }


    /**
     * jasypt 加密 (PBEWITHHMACSHA512ANDAES_256)
     * @param message 待加密的原文
     * @param password 加解密秘钥
     * @return
     */
    public static String encryptWithSHA512(String message, String password) {
        // 1. 创建加解密工具实例
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        // 2. 加解密配置
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(password);
        config.setAlgorithm(PBEWITHHMACSHA512ANDAES_256);
        // 设置迭代次数
        config.setKeyObtentionIterations( "10000");
        // 为减少配置文件的书写,以下都是 Jasyp 3.x 版本,配置文件默认配置
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        // 3. 加密
        return encryptor.encrypt(message);
    }

    /**
     * jasypt 解密(PBEWITHHMACSHA512ANDAES_256)
     * @param encryptedMessage 待解密的原文
     * @param password 加解密秘钥
     * @return
     */
    public static String decryptWithSHA512(String encryptedMessage, String password) {
        // 1. 创建加解密工具实例
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        // 2. 加解密配置
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(password);
        config.setAlgorithm(PBEWITHHMACSHA512ANDAES_256);
       // 设置迭代次数
        config.setKeyObtentionIterations( "10000");
        // 为减少配置文件的书写,以下都是 Jasyp 3.x 版本,配置文件默认配置
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        // 3. 解密
        return encryptor.decrypt(encryptedMessage);
    }

}

三.application.yaml配置

1. jasypt相关配置

几个重要的参数:

  • password: 加解密秘钥,如果该秘钥泄露,加密后会被解密,应该通过环境变量或者启动参数传递,或者在代码内对该密钥解析二次加解密
  • algorithm: 采用的算法,PBEWITHMD5ANDDES、PBEWITHMD5ANDTRIPLEDES、PBEWITHSHA1ANDDESEDE、PBEWITHSHA1ANDRC2_40、PBEWITHHMACSHA512ANDAES_256,对于 PBEWITHMD5ANDTRIPLEDES、PBEWITHHMACSHA512ANDAES_256 算法,需要在 JDK 中安装 JCE 扩展库
  • key-obtention-iterations: 迭代次数, 默认 1000
  encryptor:
    password: haha
    algorithm: PBEWITHHMACSHA512ANDAES_256
    key-obtention-iterations: 10000

2. 数据库密码配置

  • 将密码加密后用ENC()将密文括起来,jasypt会自动解析,也可通过参数 prefix: “ENC@[” 和 suffix: "]"设置其他值
spring:
  datasource:
    url: jdbc:mysql://localhost:3306/heheda?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=utf-8&useSSL=false&allowMultiQueries=true
#    username: root
#    password: 123zxcv
    username: ENC(ANCT18nxVcrbxXc2niY7JBKK+4ORvGCgvEUBr4wobWn/QZjNlKLsYbuhnyHGx4lW)
    password:  ENC(tHJC+FMYPe12iwvIj+nJkc5Vks+fPAJ9sYe2utWabbYtToxnYwjsvWjPrid8hY6M)
    driver-class-name: com.mysql.cj.jdbc.Driver
    type: com.zaxxer.hikari.HikariDataSource
    dbcp2:
      max-wait-millis: 10000
      min-idle: 5
      initial-size: 5
      max-total: 100

配置后,直接启动 springboot 即可

四.秘钥 password 安全

  • 上文说过加解密秘钥 password 秘钥泄露,加密后会被解密,有以下几种方式可以对秘钥进一步保护

1.password 加到 springboot 启动参数中

java -jar jasypt-demo.jar --jasypt.encryptor.password=haha

2.作为程序启动时的应用环境变量

java -Djasypt.encryptor.password=haha -jar jasypt-demo.jar

3.password 加到系统环境变量中

  • /etc/profile 中加入:
export JASYPT_ENCRYPTOR_PASSWORD=haha

jasypt:
  encryptor:
    password: ${JASYPT_ENCRYPTOR_PASSWORD}
    algorithm: PBEWITHHMACSHA512ANDAES_256
    key-obtention-iterations: 10000

4. 取消配置, 采用内部配置

  • 去掉 application.yaml 中的 jasypt 相关配置,采用 @Configuration 解析
package com.ashen.heihei.config;

import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * jasypt 加解密配置
 * @Author: HY
 */
@Configuration
public class JasyptConfig {

    /**
     * 加解密秘钥
     */
    private static String PASSWORD = "haha";

    /**
     * 加密算法
     */
    private static String ALGORITHM = "PBEWITHHMACSHA512ANDAES_256";

    /**
     * 迭代次数 iterations
     */
    private static String ITERATIONS = "10000";

    @Bean("jasyptStringEncryptor")
    public PooledPBEStringEncryptor jasyptEncryptor(){
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(PASSWORD);
        config.setAlgorithm(ALGORITHM);
        config.setKeyObtentionIterations(ITERATIONS);
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        return encryptor;
    }

}

五.常见异常

1.Reason: Failed to bind properties under ‘spring.datasource.password’ to java.lang.String
  • 有可能密文加密解密时采用的参数不一致导致,比如采用的算法不一样,秘钥不一样,或者迭代次数不一样
2.Encryption raised an exception. A possible cause is you are using strong encryption algorithms and you have not installed the Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files in this Java Virtual Machine
  • 原因是 jdk 的无限强度管辖权政策权限不够(JCE),下载一个JCE, 解压jar包,加入两个jce包替换jre下的 jdk/jre/lib/security/ 目录下权限包,
https://www.oracle.com/java/technologies/javase-jce8-downloads.html

springboot集成jasypt示例代码链接

纯洁的小魔鬼
关注
专栏目录
jasypt配置文件密码加密解码
与海
06-08 320
配置文件的组件密码加密,比如数据库redis等密码加密。
【项目实战】配置文件信息加解密方案(jasypt
本本本添哥
07-11 650
在这个项目实战中,我们将使用 jasypt 库来实现配置文件信息的加解密方案。jasypt 是一个开源的 Java 加密库,可以方便地对数据进行加密和解密。
jasypt加解密类使用
weixin_42594143的博客
05-21 1009
什么是jasyptJasyptJava Simplified Encryption)是一个简单易用的Java加密库,用于在Java应用程序中对敏感数据进行加密和解密。它提供了多种加密算法和强大的加密功能,使得开发人员可以方便地保护应用程序中的敏感信息,如密码、API密钥、数据库连接信息等。总之,JasyptJava开发人员提供了一个简单而强大的加密解密工具,帮助他们保护应用程序中的敏感信息,提高数据安全性。jasypt里面的加解密类,以及这些加解密类的示例代码如下。
Springboot之Jasypt配置文件加密/解密
Java后端技术栈
04-16 6201
前言在大多数项目中,配置文件中的 mysql 数据库密码、redis 密码等其他敏感性密码都是以明文形式存在,这种配置本身没有任何问题,但是,在某些情况下,可能会对公司造成不可挽救的损失,比如:某一天,小明因为加班过度,头脑发昏,不小心把公司项目上传到自己的 GitHub 仓库里面了,导致的后果就是,公司数据库用户名密码泄露,被某些大佬加以利用…所以,基于上面这种情况,加入配置文件中数据库用户密码等其他敏感信息都是经过加密处理过的呢???是不是可以大概率避免这种情况。Jasypt 因此应运而生。
推荐开源项目:JASYPT - 简化版的Java加密库
最新发布
gitblog_01151的博客
08-16 923
推荐开源项目:JASYPT - 简化版的Java加密库 jasyptJasypt (Java Simplified Encryption) is a java library which allows the developer to add basic encryption capabilities to his/her projects with minimum effort, and wi...
jasypt加解密
ProGram_BlackCat的博客
03-18 1128
Jasypt命令行加解密
Jasypt加解密
qq_24045275的博客
06-13 3915
Jasypt加密引言​ Jasypt也即Java Simplified Encryption是Sourceforge.net上的一个开源项目。Jasypt 1.4的新特性包括:加密属性文件(encryptable properties files)、Spring Framework集成、加密Hibernate数据源配置、新的命令工具、URL加密的Apache wicket集成以及升级文档。
配置文件内容加密jasypt demo
12-14
在Spring Boot中,我们可以利用jasypt来加密配置文件(如application.properties或application.yml)中的敏感数据,确保即使配置文件被泄露,也无法直接获取到原始的明文信息。 首先,我们需要在项目中引入jasypt的...
基于Jasypt对SpringBoot配置文件加密
08-25
使用Jasypt对SpringBoot配置文件进行加密,可以有效保护配置文件中的敏感信息不被非法获取。 首先,需要在项目的pom.xml文件中加入Jasypt的依赖项。根据所提供的文件内容,可以发现引用了一个特定版本的Jasypt ...
SpringBoot使用jasypt加解密密码
weixin_30426879的博客
05-17 246
在我们的服务中不可避免的需要使用到一些秘钥(数据库、redis等) 开发和测试环境还好,但生产如果采用明文配置讲会有安全问题,jasypt是一个通用的加解密库,我们可以使用它。 <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasy...
Jasypt 数据库及中间件密码加解密
fivehundredyearsago的博客
07-04 1714
将加密后密码替换值yml文件ENC()括号内。三、修改application.yml。二、新增JasyptUtils工具类。
Jasypt配置文件加密
liu_0_1的博客
06-26 1092
通过上述步骤,您可以在Spring Boot项目中使用Jasypt配置文件中的敏感数据进行加密和解密。这样可以有效保护敏感信息,如数据库用户名和密码等,防止这些信息被直接暴露在配置文件中。具体可参考官网。
jasypt 加密和解密
码农崛起
08-04 1278
Jasypt 简介Jasypt 是一个 Java 库,它允许开发人员以最小的努力为项目添加基本的加密功能,而无需深入了解密码学的工作原理。Jasypt 特征Jasypt 提供简单的单向(摘要)和双向加密技术。用于任何 JCE 提供程序的开放 API,而不仅仅是默认的 Java VM 提供程序。Jasypt 可以很容易地与 Bouncy Castle 等知名提供商一起使用。为您的用户密码提供更高的安全性。二进制加密支持。Jasypt 允许对二进制文件(字节数组)进行摘要和加密。
Jasypt】Springboot集成Jasypt实现配置文件加解密的方法:
SunPeng的博客
05-03 651
Jasypt】Springboot集成Jasypt实现配置文件加解密的方法:
Jasypt实现数据加解密(脱敏)
热门推荐
smiling
04-14 1万+
场景一:对配置文件中的裸露的密码进行加密 1、添加依赖 <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.4</version>
Spring Boot配置文件加解密实战与原理解析
本文将详细介绍Spring Boot配置文件加解密的过程及其重要性。在Spring Boot开发中,为了保护敏感信息,如数据库连接信息,防止明文暴露,配置文件的安全性变得至关重要。本文将使用jasypt-1.9.4.jar库来实现这一功能...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

纯洁的小魔鬼

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值