干掉配置文件中的明文,提升应用安全

已于 2022-08-29 15:38:17 修改
阅读量4.7w 收藏 1
点赞数
分类专栏: java 架构 文章标签: java spring
于 2021-05-03 10:21:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yelangkingwuzuhu/article/details/116373222
版权
java 同时被 2 个专栏收录
60 篇文章 9 订阅
订阅专栏
架构
20 篇文章 1 订阅
订阅专栏

几乎所有应用都会配置一些敏感信息,比如生产环境mysql数据库的用户名和密码,生产redis的密码,生产机器es的密码,甚至于服务器的root密码等等。试想如果是一个发布在互联网的应用,假如这些配置信息被恶意劫持,用户信息被随意泄露,企业有可能因此被摁在地上摩擦,除了跑路还有其它的选择吗?

通常情况下,除了防止直接在生产上暴露真实密码,还有内部用户误操作,研发的同学会将关键信息进行加密,防止恶意偷窥。本文将以springoot为例,讲解如何在springboot中将配置文件的敏感信息进行加密。

加解密技术是一门精妙的数学艺术,本文不在加解密算法上进行深入讲解,只从工程应用的层面,阐述jasypt加解密技术在springboot项目中的应用,jasypt不局限与springboot,也可以在传统spring项目中引用。跟随下面的步骤来加密你的应用。

第一步:jasypt maven引用

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.0.0</version>
 </dependency>

用starter的方式集成最简单,在springboot项目启动时会自动集成加解密功能,无需在启动函数上定义相关注解,是最简单的一种集成方式。

第二步:在yml中定义秘钥

#jasypt加解密
jasypt:
  encryptor:
    password = xxx@yelangking

注意,以上秘钥要特别注意保密,jasypt 是对称加密,这个秘钥一定要保存好,可以设置得比较复杂。

第三步:关键信息加密

master:
    url: jdbc:mysql://localhost:3306/ry0320?useUnicode=true&characterEncoding=utf8&zeroDateTimeBehavior=convertToNull&useSSL=true&serverTimezone=GMT%2B8
    username: ENC(cj0tF0M9/cFdu69HL2EyAQ==)
    password: ENC(G2EMSuKtH3sBA5bHrjmtZg==)

所有需要加密的关键信息都冠以ENC(XXX),XXX为加密后的密文。

通过以上步骤就可以完成关键信息加密,直接启动应用就可以了。是不是很简单,通过这些简单的集成,可以有效避免这些配置信息在机器上裸奔。

启动日志如下:

09:55:22.154 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [lambda$new$2,33] - String Encryptor custom Bean not found with name 'jasyptStringEncryptor'. Initializing Default String Encryptor
09:55:22.185 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.algorithm, using default value: PBEWithMD5AndDES
09:55:22.186 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.keyObtentionIterations, using default value: 1000
09:55:22.188 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.poolSize, using default value: 1
09:55:22.189 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.providerName, using default value: null
09:55:22.190 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.providerClassName, using default value: null
09:55:22.191 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.saltGeneratorClassname, using default value: org.jasypt.salt.RandomSaltGenerator
09:55:22.194 [restartedMain] INFO  c.u.j.e.DefaultLazyEncryptor - [getProperty,59] - Encryptor config not found for property jasypt.encryptor.stringOutputType, using default value: base64

上述日志是因为没有配置相关参数,springboot帮我们生成了默认的bean,在生产中可以引入更复杂的参数,让你的应用更安全。

后话一:如何生成密文

BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
// 加密所需的salt
textEncryptor.setPassword("xxx@yelangking");
// 要加密的数据(数据库的用户名或密码)
String username = textEncryptor.encrypt("root");
String password = textEncryptor.encrypt("mysql");
System.out.println("username:" + username);
System.out.println("password:" + password);
// 要解密的数据(数据库的用户名或密码)
username = textEncryptor.decrypt(username);
password = textEncryptor.decrypt(password);
System.out.println("username:" + username);
System.out.println("password:" + password);

以上代码可以用main方法运行,也可以使用junit完成。

后话二:springboot深入集成jasypt关键代码:

public class EnableEncryptablePropertiesBeanFactoryPostProcessor implements BeanFactoryPostProcessor, ApplicationListener<ApplicationEvent>, Ordered {
    @Override
    public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
        // 得到加密字符串的处理类(已经加密的密码通过它来解密)
        EncryptablePropertyResolver propertyResolver = beanFactory.getBean(RESOLVER_BEAN_NAME, EncryptablePropertyResolver.class);
        // springboot下的Environment里包含了所有我们定义的属性, 也就包含了application.properties中所有的属性
        MutablePropertySources propSources = environment.getPropertySources();
        // 核心,PropertySource的getProperty(String)方法委托给EncryptablePropertySourceWrapper
        convertPropertySources(interceptionMode, propertyResolver, propSources);
    }
}

convertPropertySources中实现了具体的解密方法:

@Override
public String resolvePropertyValue(String value) {
    String actualValue = value;
    // 如果value是加密的value,则进行解密。
    if (detector.isEncrypted(value)) {
        try {
            actualValue = encryptor.decrypt(detector.unwrapEncryptedValue(value.trim()));
        } catch (EncryptionOperationNotPossibleException e) {
            throw new DecryptionException("Decryption of Properties failed,  make sure encryption/decryption passwords match", e);
        }
    }
    return actualValue;
}

在这里,解释器通过判断是否包含关键字ENC来作为是否加密的标识,如果包含ENC则会进行解密,反之则直接返回明文。

夜郎king
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring配置文件加密方法示例
08-28
主要介绍了spring配置文件加密方法示例,简单介绍了什么是配置文件,然后分享了在实际生产环境,对配置文件不允许出现明文用户名及密码等信息需求的Java实现代码,具有一定参考价值,需要的朋友可以了解下。
spring boot使用jasypt加密原理解析
u013905744的专栏
01-16 3万+
首先介绍一下jasypt的使用方法 可以参考下面这篇文章: Get史上最优雅的加密方式!没有之一! 版本对应的坑 使用的时候还是遇到一个坑,就是jasypt的版本与spring boot版本存在对应情况。可以看到jasypt是区分java7和java8的,也存在依赖spring版本的情况。 自己尝试了一下 在使用jasypt-spring-boot-starter的前提下 j...
springboot 密码加密
2301_76965813的博客
04-16 1807
是启动spring容器的关键方法复制来注册我们下面的postProcessors。
springboot jasypt2.x与jasypt3.x的使用
秃头的博客
04-14 4060
springboot jasypt2.x与jasypt3.x的使用 如果我们把大量的配置信息都放在配置文件是会有安全隐患的,那么如何消除这个隐患呢?最直接的方式就是把配置信息的一些敏感信息(比如数据库密码、间件密码)加密,然后程序在获取这些配置的时候解密,就可以达到目的。这个时候,jasypt框架就派上用场了。
springboot集成jasypt 遇到 String Encryptor custom Bean not found with name ‘xxxEncryptor
寂夜了无痕的博客
08-21 2749
springboot集成jasypt 遇到 String Encryptor custom Bean not found with name ‘xxxEncryptor
SpringBoot 配置文件这样加密,才足够安全
Java笔记虾
11-19 354
点击关注公众号,利用碎片时间学习1. 前景在使用Springboot时,通常很多信息都是在application.yml直接明文配置的,比如数据库链接信息,redis链接信息等等。但是这样是不安全的。所以需要对敏感数据进行加密,这样防止密码泄露Jasypt这个库为我们解决了这个问题,实现了springboot配置的自定加密加密2. 简单使用源码对应地址:http://gitlab.sea-clo...
Spring Boot微服务使用jasypt-spring-boot加密和解密yml配置文件
zhangbeizhen18的博客
04-27 4152
记录:424 场景:在Spring Boot微服务,使用jasypt-spring-boot加密和解密yml配置文件的配置信息。
jasypt 加解密的各个版本支持,看这一篇文章就够了
Rambo's Blog
07-25 8470
文章目录一、场景描述二、解决方案三、实践操作四、测试用例 一、场景描述   在项目开发过程,我们往往可以看到许多项目的配置文件可以看到各种明文密码的情况,比如:数据库密码、Redis 连接密码等等一些敏感信息就这么赤裸裸的暴露在配置文件,如果这些配置信息被图谋不轨的人拿到,那损失和后果就不堪设想。   之前倒是看到过一个例子,一个程序员把自己公司的项目代码上传到了自己的GitHub仓库里了,结果配置文件忘了处理,导致公司数据库泄露,关键问题是,这个公司还是个酒店管理公司,因此后果可想而知了(又要拆散多
JASYPT实现项部部署配置文件加密
09-28
项目部署时数据库连接信息,缓存连接信息等账号密码都在配置文件明文,为了安全期间,通过Jasypt进行加密处理
破解路由器配置文件获取明文宽带账号和密码
01-20
破解路由器的配置文件以获取明文宽带账号和密码,附件含官方下载地址。
Web应用安全:体验Basic认证.pptx
06-18
②使用Fiddler监听请求,可以看到在未进行认证或认证失败的情况下,服务端会返回401 Unauthorized给客户端,并附带Challenge(质询),即在Response Header添加WWW-Authenticate标头,浏览器识别到Basic后弹出...
Spring数据源及配置文件数据加密实现过程详解
08-19
主要介绍了Spring数据源及配置文件数据加密实现过程详解,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
【jasypt】jasypt升级到3.x报错Failed to bind properties under ‘属性名‘ to java.lang.String
三也_攻城狮
02-12 8312
springboot 2.x工程,将jasypt升级到3.x-->3.0.3后,配置一个属性为加密,工程启动后报错如下 #### # # ##### ###### # # # # # # # # # # ##### ##### # # # # # # # # # # # # # #### #### ##
String Encryptor custom Bean not found with name ‘jasyptStringEncryptor‘...
最新发布
遨游大海
04-01 522
apollo和jasypt冲突
springboot项目创建笔记33 之《初始化资源》
csj50的专栏
01-28 2627
以前用springmvc时,程序初始化资源用@PostConstruct注解和ApplicationContextAware接口。 springboot提供了一个新接口可以实现这个功能,就是CommandLineRunner接口。比如程序启动后,进行数据库资源的初始化、redis缓存的初始化等。 拿bean生命周期的例子加上这个接口测试 https://blog.csdn.net/csj50/article/details/107975473 package com.example.base; i
Springboot项目使用jasypt加密配置文件的敏感信息
lzhfdxhxm的博客
09-15 3837
项目背景 Spring Boot 2.0.8 在项目,经常需要在配置文件里配置一些敏感信息,比如数据库用户名和密码,redis、mq的连接信息等。如果直接写明文,很容易造成密码泄露等安全问题。 jasypt简介 Jasypt 是一个 Java 库,它允许开发者以最小的努力为他/她的项目添加基本的加密功能,而且不需要对密码学的工作原理有深刻的了解。 jasypt 和spring boot的版本对应关系
jasypt-spring-boot
weixin_33953384的博客
06-18 1549
运行 运行时配置解密秘钥-Djasypt.encryptor.password=在idea运行 命令行启动和docker运行参见https://www.cnblogs.com/zz0412/p/jasypt-001.html Spring Boot: How to encrypt properties in application.properties Somet...
Jasypt 配置文件加密
donkeyboy001的博客
04-25 6581
參考文献 Git地址: GitHub - ulisesbocchio/jasypt-spring-boot: Jasypt integration for Spring boot 原理:spring boot使用jasypt加密原理解析_const伐伐的博客-CSDN博客_stringencryptor 国密:SM4国密算法java实现 - SimonHu1993 - 博客园 使用:jasypt库的使用_hornsey2012的博客-CSDN博客_jasypt使用 国密算法:GitHub - x
Mybatis-plus操作json字段实战
热门推荐
夜郎King的博客
11-22 9万+
后端动态列设计与实现三部曲,这是最后一步,使用java语言,结合mybatis-plus神技操作json字段。 简单介绍下mybatis-plus,大厂mybatis使用的非常多,而mybatis-plus是基于mybatis做了扩展,进一步增强,在不影响数据存储的情况下,简化操作方式。有兴趣的朋友可以去官网了解:https://www.baomidou.com/ 1、架构图 2、功能 3、表结构 DROPTABLEIFEXISTSuser;CREATETABLEuser(......
Linux命令怎么检查服务配置文件是否存在明文口令
07-08
要使用Linux命令检查服务配置文件是否存在明文口令,可以使用以下命令组合: 1. 使用`grep`命令搜索关键词:可以使用`grep`命令来搜索配置文件明文口令关键词。例如,假设要搜索配置文件`/etc/nginx/nginx....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜郎king

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值