SpringBoot配置文件中的数据加密

Posted hhzz

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了SpringBoot配置文件中的数据加密相关的知识,希望对你有一定的参考价值。

在SpringBoot开发过程中配置文件是明文存放在application.yml或者application.properties文件中,这种配置方式会带来一定的安全隐患,本章将对这个问题提出一个简单的解决方案。

1,编码

首先需要确定一个加密解密方式,本文采用RSA进行加密解密,首先编写加密解密的代码,注意RSA加密解密需要使用到公钥和私钥,公钥私钥的生成代码如下:

public static void generateKey() throws NoSuchAlgorithmException 
   KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(EncryptionType.RSA);
   keyPairGen.initialize(1024, new SecureRandom());
   KeyPair keyPair = keyPairGen.generateKeyPair();
   RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();   // 得到私钥
   RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();  // 得到公钥
   String publicKeyString = new String(Base64.encodeBase64(publicKey.getEncoded()));
   String privateKeyString = new String(Base64.encodeBase64((privateKey.getEncoded())));
   System.out.println("当前生成的公钥= " + publicKeyString);
   System.out.println("当前生成的私钥= " + privateKeyString);

加密代码如下:

public static String encrypt(String str, String publicKey) throws NoSuchAlgorithmException, BadPaddingException, IllegalBlockSizeException, NoSuchPaddingException, InvalidKeyException, InvalidKeySpecException 
                byte[] decoded = Base64.decodeBase64(publicKey);
                RSAPublicKey pubKey = (RSAPublicKey) KeyFactory.getInstance(EncryptionType.RSA).generatePublic(new X509EncodedKeySpec(decoded));
                Cipher cipher = Cipher.getInstance(EncryptionType.RSA);
                cipher.init(Cipher.ENCRYPT_MODE, pubKey);
                return Base64.encodeBase64String(cipher.doFinal(str.getBytes(StandardCharsets.UTF_8)));

解密代码如下:

public static String decrypt(String str, String privateKey) throws NoSuchAlgorithmException, InvalidKeySpecException, NoSuchPaddingException, BadPaddingException, IllegalBlockSizeException, InvalidKeyException 
   byte[] inputByte = Base64.decodeBase64(str.getBytes(StandardCharsets.UTF_8));
   byte[] decoded = Base64.decodeBase64(privateKey);
   RSAPrivateKey priKey = (RSAPrivateKey) KeyFactory.getInstance(EncryptionType.RSA).generatePrivate(new PKCS8EncodedKeySpec(decoded));
   Cipher cipher = Cipher.getInstance(EncryptionType.RSA);
   cipher.init(Cipher.DECRYPT_MODE, priKey);
   return new String(cipher.doFinal(inputByte));

上述代码为基本的加密解密工具,加下来需要在配置文件中确定哪些配置是需要进行解密的,本例将采用自定义前缀+后缀的方式进行匹配,前缀为PWD[,后缀为],如果在配置文件中属性值是以前缀后缀包裹的那么这个数据会被进行解密操作,

通过前文的加密工具可以先进行一次密码加密加密原文为1234qwer,公钥:

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCBOkkkvjbOQ6UTCo8U4bRC/EcEtxz8haHg6lueM3NBbH3eIT7kfwQFOqj1h1qPGcQNeyn4vxzMWBAKzSQehjqVBL7/8GN7EZ7TEaUuWO+8qsuZnOdrztX7bNKACnks+SelmtbrbnFKUMAq2c2mS0o1V6iwyRxJYLGaHGXnz4KSkwIDAQAB

私钥:

MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAIE6SSS+Ns5DpRMKjxThtEL8RwS3HPyFoeDqW54zc0Fsfd4hPuR/BAU6qPWHWo8ZxA17Kfi/HMxYEArNJB6GOpUEvv/wY3sRntMRpS5Y77yqy5mc52vO1fts0oAKeSz5J6Wa1utucUpQwCrZzaZLSjVXqLDJHElgsZocZefPgpKTAgMBAAECgYAFaCDjTqoQWzgu4cQ2xXK7Ur7N7bNixVyOgn+u0MxDsnxZrN5qxP2wElI7Y5xgXF2diseoxqY3zn9tVEPsmwUcY73naoosx9V8oExgT/BUkZYIzj1ei08zOr984zl3dbFcxOCRvqywXj9FAAGx1mhmCzFCIauJg3aX0S9mt5/CwQJBAMYZsmMQ9owoXZuSclKVRfMHFpAPhQlcBM4xadhX0IRYATgNTxpESmcCoGWvyw3bvieNJyC9Njx6X4FJ2EZUzhECQQCm/2IM5MlsCwyKtME5RPFna2hSqYU80UzkNfDIyMokcU2JUI4Fhigog4ol0GFMiMBsHIjS+cJiAwNbIsq5rsJjAkA94yVBobkETFACHBwvBIdXxy0bUF3lcKPnrrQ8bCKuVbf7xNyjfhYoXD+zxNmQuMeNH6HLrpDVD/3qLCGuxyuhAkAiLPl/8gJWnhw+9qbkdXuB0rVS1WZy/9JgkblpHc5gjt9zTo0CDGaDhAftnSuMYiAe/+fwZTSmoj85k3ExdtZJAkEArJuG/NWY9HP4p7jtZX9rMokyB3517v7HQdJKBDIlOzseRC/roCvU8LQ/URDFBUqXCRgedxgW+0ZmKFf4xeawqw==

加密结果为:

PWD[bMw8oqC/ma31JqF0DCuf5QWqSFRMigYw3fMBIIIfJ85vnmNnFbH9IcJfUHgbSmNHeITffToODwAygy4vKdzu6o1i1UQOd8w4nPKhnVJCLKqW5jmc3Yw+FkTIRBp63NJWzECVnRHqEK+bTxPMa1gfKql/2U45XxqeDSZOEXGeA+E=]

得到这个数据后将其配置在application.properties文件中,具体内容如下

server.port=8080
spring.application.name=test-app
spring.datasource.password=PWD[bMw8oqC/ma31JqF0DCuf5QWqSFRMigYw3fMBIIIfJ85vnmNnFbH9IcJfUHgbSmNHeITffToODwAygy4vKdzu6o1i1UQOd8w4nPKhnVJCLKqW5jmc3Yw+FkTIRBp63NJWzECVnRHqEK+bTxPMa1gfKql/2U45XxqeDSZOEXGeA+E=]

接下来需要进一步解决的是如何将这个加密字符串进行解密,这里需要使用BeanFactoryPostProcessor接口对环境变量进行修改,具体实现代码如下:

@Override
public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException 

   MutablePropertySources propertySources = environment.getPropertySources();

   for (PropertySource<?> propertySource : propertySources) 
      if (propertySource instanceof OriginTrackedMapPropertySource
      ) 
         OriginTrackedMapPropertySource om = (OriginTrackedMapPropertySource) propertySource;
         Map<String, Object> source = om.getSource();
         source.forEach((k, v) -> 
            String property = environment.getProperty(k);
            if (hasPreAndSuf(property)) 
               LOG.info("开始处理 k = []", k);
               try 
                  String relay = splitPreAndSuf(property, this.prefix, this.suffix);
                  String decrypt = RSAEncrypt.decrypt(relay, getPrivateKey(environment));
                  source.put(k, decrypt);
               
               catch (Exception e) 
                  LOG.error("e = ", e);
               
            
         );

2,处理逻辑

提取环境配置中的所有配置属性
判断配置属性是否是OriginTrackedMapPropertySource类型,该类型的数据是在application.yaml中的内容
处理OriginTrackedMapPropertySource对象的value值,如果value包含自定义前缀后缀则进行解密
在本例中对于公钥私钥以及前缀后缀是允许自定义的,开发者只需要在配置文件中根据下面表格进行填写即可

属性名称属性含义默认值
encryption.prefix前缀PWD[
encryption.suffix后缀默认值
encryption.rsa.publickey公钥默认值
encryption.rsa.privatekey私钥默认值

注意:为了便捷操作开放了配置文件形式的公钥秘钥的配置,这部分配置可以在测试环境中开发环境中进行使用。如果需要在生产环境中使用请使用下面两种方式:

方式一:在项目资源目录resources文件夹下创建hf_private_key文件,向文件中填写如下内容

encryption.rsa.privateKey=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

需要将等于号后面的内容进行修改,替换为项目中的秘钥

方式二:通过命令行进行传递

在启动命令中添加

-Dencryption.rsa.privateKey=MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAIE6SSS+Ns5DpRMKjxThtEL8RwS3HPyFoeDqW54zc0Fsfd4hPuR/BAU6qPWHWo8ZxA17Kfi/HMxYEArNJB6GOpUEvv/wY3sRntMRpS5Y77yqy5mc52vO1fts0oAKeSz5J6Wa1utucUpQwCrZzaZLSjVXqLDJHElgsZocZefPgpKTAgMBAAECgYAFaCDjTqoQWzgu4cQ2xXK7Ur7N7bNixVyOgn+u0MxDsnxZrN5qxP2wElI7Y5xgXF2diseoxqY3zn9tVEPsmwUcY73naoosx9V8oExgT/BUkZYIzj1ei08zOr984zl3dbFcxOCRvqywXj9FAAGx1mhmCzFCIauJg3aX0S9mt5/CwQJBAMYZsmMQ9owoXZuSclKVRfMHFpAPhQlcBM4xadhX0IRYATgNTxpESmcCoGWvyw3bvieNJyC9Njx6X4FJ2EZUzhECQQCm/2IM5MlsCwyKtME5RPFna2hSqYU80UzkNfDIyMokcU2JUI4Fhigog4ol0GFMiMBsHIjS+cJiAwNbIsq5rsJjAkA94yVBobkETFACHBwvBIdXxy0bUF3lcKPnrrQ8bCKuVbf7xNyjfhYoXD+zxNmQuMeNH6HLrpDVD/3qLCGuxyuhAkAiLPl/8gJWnhw+9qbkdXuB0rVS1WZy/9JgkblpHc5gjt9zTo0CDGaDhAftnSuMYiAe/+fwZTSmoj85k3ExdtZJAkEArJuG/NWY9HP4p7jtZX9rMokyB3517v7HQdJKBDIlOzseRC/roCvU8LQ/URDFBUqXCRgedxgW+0ZmKFf4xeawqw==

需要将等号后面的内容进行修改,替换为项目中的秘钥

从笔者所经历的角度来看命令行传递参数可能更加安全一些,因为文件和命令行相比命令行需要在生产环境才可以看到,而文件在仓库中会存在。

接下来做一个测试,在启动时输出
spring.datasource.password属性查看是否是加密前的数据,测试代码如下:

@SpringBootApplication
public class App 

   @Value("$spring.datasource.password")
   private String dataSourceProperties;


   public static void main(String[] args) 
      SpringApplication.run(App.class, args);
   

   @Bean
   public ApplicationRunner runner() 
      return args -> 
         System.out.println(dataSourceProperties);
      ;

启动项目后可以看到控制台输出

1234qwer

SpringBoot-技术专区-配置文件加密

  工程中的配置文件如果把数据库的用户名密码写成明文的话是一件很危险的事情,之前也看见网上说可以对密码进行加密,用的时候再解密,因此今天我就尝试如何在spring boot 中的项目中实现关键信息的加密解密,并记录下来。

jasypt

  Jasypt is a java library which allows the developer to add basic encryption capabilities to his/her projects with minimum effort, and without the need of having deep knowledge on how cryptography works.

  这是摘抄自Jasypt官网的一句描述,重点就是简单方便,同时和spring能够很好的集成,尤其是还提供了对spring boot的支持,可以参考starter的实现:https://github.com/ulisesbocchio/jasypt-spring-boot

  1. Maven依赖

    <dependency>
  <groupId>com.github.ulisesbocchio</groupId>
  <artifactId>jasypt-spring-boot-starter</artifactId>
  <version>1.14</version>
</dependency>

    http://central.maven.org/maven2/org/jasypt/jasypt/1.9.2/jasypt-1.9.2.jar

  1. 加密密码

    加密命令如下(红色部分代表需要加密的密码):

    java -cp F://.m2/repository/org/jasypt/jasypt/1.9.2/jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="test123" password=e9fbdb2d3b21 algorithm=PBEWithMD5AndDES


    命令回显如下(红色部分是加密后的密文):

    ----ENVIRONMENT-----------------
Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.121-b13
----ARGUMENTS-------------------
algorithm: PBEWithMD5AndDES
input: test123
password: e9fbdb2d3b21
----OUTPUT----------------------
ArGx5ir2xs+CmXRhMnThpQ==

  2. 在程序中设置密文

    在程序中设置密文需要使用如下格式:

    ENC(密文)
如:
spring.datasource.password=ENC(ArGx5ir2xs+CmXRhMnThpQ==)

    在程序中获取到的spring.datasource.password会自动转换成明文内容(test123)。

  3. 配置密文密码

    在启动命令中配置JVM参数(jasypt.encryptor.password),注入加密密文的密码。
    如:

    java -Dfile.encoding=UTF8 -Djasypt.encryptor.password=e9fbdb2d3b21 -jar -Xmx512m settlement.jar

    注:在docker容器中密文的密码可以设置成环境变量(如:JASYPT_PASSWORD ),上述命令可以修改为:

    java -Dfile.encoding=UTF8 -Djasypt.encryptor.password=${JASYPT_PASSWORD} -jar -Xmx512m settlement.jar
  4. 参考文档
    https://www.ricston.com/blog/encrypting-properties-in-spring-boot-with-jasypt-spring-boot/
    https://github.com/ulisesbocchio/jasypt-spring-boot

 

以上是关于SpringBoot配置文件中的数据加密的主要内容,如果未能解决你的问题,请参考以下文章

SpringBoot配置文件中的数据加密

SpringBoot-技术专区-配置文件加密

SpringBoot配置文件敏感信息加密

springboot使用jasypt对配置文件加密,加密数据库连接

springboot使用jasypt对配置文件加密,加密数据库连接

springboot使用jasypt对配置文件加密,加密数据库连接