说明
SpringBoot配置文件中的内容通常情况下是明文显示,安全性就比较低一些。
打开application.properties或application.yml,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。
jasypt由一个国外大神写的一个springboot下的工具包,用来加密配置文件中的信息。
以数据库用户名和数据库密码加密为例
- 引入包
查看最新版本可以到(或者maven仓库中查看):
https://github.com/ulisesbocchio/jasypt-spring-boot
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.4</version>
</dependency>
- 配置加/解的密码
# jasypt加密的密匙
jasypt:
encryptor:
password: yahya
- 测试用例中生成加密后的秘钥
@RunWith(SpringRunner.class)
@SpringBootTest
public class DatabaseTest {
@Autowired
private StringEncryptor encryptor;
@Test
public void getPass() {
String url = encryptor.encrypt("jdbc:mysql://localhost:3306/mydb?autoReconnect=true&serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=utf-8");
String name = encryptor.encrypt("root");
String password = encryptor.encrypt("123456");
System.out.println("database url: " + url);
System.out.println("database name: " + name);
System.out.println("database password: " + password);
Assert.assertTrue(url.length() > 0);
Assert.assertTrue(name.length() > 0);
Assert.assertTrue(password.length() > 0);
}
}
输出加密字符串:
database url: yMvbGBN72lqHC9nc31yHiNRh1qXLdIpP2t2n03IKe6u0HnoueIdzVSCFlzutjOXslQaW5APV3ixAeOYv0BPp0MpxAmrTy/vcgxQNGFUplEOtTDf6gS5BP0QnShRS5UoHd70hpV7uEbwmp1YZqnpVgYMPwxU2dblxupcbcBprnn8AYVvZUYEJ6rJ2F7GXyLRaMTOBFrPaWD8AtwyqAe4xDA==
database name: yc4dDlBItQ2nsT4c4COCJZnE/6sDCDmZB7nWziV7EIxhrc7itGwvKj+gbWcqN+qC
database password: h+Qfff9Er6Q90zgHtv1umJVPlHbN8+5DqZ5Hs+wbs6CUEnsi79Pnu+a88FBy2ssv
- 将加密后的字符串替换原明文
server:
port: 8080
spring:
# 数据库相关配置
datasource:
driver-class-name: com.mysql.cj.jdbc.Driver
# 这里加上后缀用来防止mysql乱码,serverTimezone=GMT%2b8设置时区
url: ENC(yMvbGBN72lqHC9nc31yHiNRh1qXLdIpP2t2n03IKe6u0HnoueIdzVSCFlzutjOXslQaW5APV3ixAeOYv0BPp0MpxAmrTy/vcgxQNGFUplEOtTDf6gS5BP0QnShRS5UoHd70hpV7uEbwmp1YZqnpVgYMPwxU2dblxupcbcBprnn8AYVvZUYEJ6rJ2F7GXyLRaMTOBFrPaWD8AtwyqAe4xDA==)
username: ENC(yc4dDlBItQ2nsT4c4COCJZnE/6sDCDmZB7nWziV7EIxhrc7itGwvKj+gbWcqN+qC)
password: ENC(h+Qfff9Er6Q90zgHtv1umJVPlHbN8+5DqZ5Hs+wbs6CUEnsi79Pnu+a88FBy2ssv)
# jasypt加密的密匙
jasypt:
encryptor:
password: yahya
注意: 上面的 ENC() 是固定写法.
部署时配置salt(盐)值
为了防止salt(盐)泄露,反解出密码.可以在项目部署的时候使用命令传入salt(盐)值(就不用再yml文件中配置了):
java -jar xxx.jar -Djasypt.encryptor.password=yahya
或者在服务器的环境变量里配置,进一步提高安全性。
打开/etc/profile文件
vim /etc/profile
在profile文件末尾插入salt(盐)变量
export JASYPT_PASSWORD = yahya
编译,使配置文件生效
source /etc/profile
运行
java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar