开发经验springboot配置文件加密详解

Posted 叁滴水

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了开发经验springboot配置文件加密详解相关的知识,希望对你有一定的参考价值。

前言

​ 一般情况下,为了方便切换环境,我们会将关于环境的信息存放在配置文件中,例如mysql的账号密码,redis的账号密码,支付宝、微信的密钥等等。

​ 这些信息是极为敏感的信息,一旦泄露,会造成很大的损失。因此,一般开发者会将配置文件中进一步加密,避免这些敏感信息让不法分子直接获取。

解决思路

​ 在springboot工程中,实现配置文件的加密十分简单,只需要引入jasypt的jar包就可以。

引入jar

<dependency>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-spring-boot-starter</artifactId>
        <version>2.0.0</version>
</dependency>

引入之后,通过工具类计算密文。

public class JasyptUtils
{
	/**
	 * Jasypt生成加密结果
	 *
	 * @param password 配置文件中设定的加密密码 jasypt.encryptor.password
	 * @param value    待加密值
	 * @return
	 */
	public static String encryptPwd (String password, String value)
	{
		PooledPBEStringEncryptor encryptOr = new PooledPBEStringEncryptor ();
		encryptOr.setConfig (cryptOr (password));
		String result = encryptOr.encrypt (value);
		return result;
	}

	/**
	 * 解密
	 *
	 * @param password 配置文件中设定的加密密码 jasypt.encryptor.password
	 * @param value    待解密密文
	 * @return
	 */
	public static String decyptPwd (String password, String value)
	{
		PooledPBEStringEncryptor encryptOr = new PooledPBEStringEncryptor ();
		encryptOr.setConfig (cryptOr (password));
		String result = encryptOr.decrypt (value);
		return result;
	}

	/**
	 * @param password salt
	 * @return
	 */
	public static SimpleStringPBEConfig cryptOr (String password)
	{
		SimpleStringPBEConfig config = new SimpleStringPBEConfig ();
		config.setPassword (password);
		config.setAlgorithm (StandardPBEByteEncryptor.DEFAULT_ALGORITHM);
		config.setKeyObtentionIterations ("1000");
		config.setPoolSize ("1");
		config.setProviderName (null);
		config.setSaltGeneratorClassName ("org.jasypt.salt.RandomSaltGenerator");
		config.setStringOutputType ("base64");
		return config;
	}

	public static void main (String[] args)
	{
		// 加密
        // 盐值替换成自己熟悉的口令,此口令为解密密钥,需要妥善保管。
		System.out.println (encryptPwd ("yanzhi", "root"));
		System.out.println (encryptPwd ("yanzhi", "123456"));
	}

输出:

uzL6GFC8aJustxilk9pY5Q==
Bs8ZOkgf6tKD7PWKcl6RzQ==

在main方法中修改自己熟悉的口令和密文即可。最后将输出的值替换在配置文件中,通过ENC()进行包裹。例如:ENC(uzL6GFC8aJustxilk9pY5Q==)
最后替换配置文件的信息即可。配置文件要添加密钥。yanzhi可以自行修改。

jasypt:
  encryptor:
    password: yanzhi

mysql的账号密码可以为

username: ENC(sdasdQSDQWFSADS==)

jasypt原理

​ 此加密的原理非常简单。众所周知,spring在读取配置文件之后,生成bean之前会生成BeanDefinition,jasypt的加密原理就是生成BeanDefinition之后,对BeanDefinition中的信息进行了修改,将其密文进行转换。核心类在EnableEncryptablePropertiesBeanFactoryPostProcessor中。

public class EnableEncryptablePropertiesBeanFactoryPostProcessor implements BeanFactoryPostProcessor, ApplicationListener<ApplicationEvent>, Ordered {

    private static final Logger LOG = LoggerFactory.getLogger(EnableEncryptablePropertiesBeanFactoryPostProcessor.class);
    private ConfigurableEnvironment environment;
    private InterceptionMode interceptionMode;

    
    @Override
    public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
        //此处是将密文还原为明文的逻辑
        LOG.info("Post-processing PropertySource instances");
        EncryptablePropertyResolver propertyResolver = beanFactory.getBean(RESOLVER_BEAN_NAME, EncryptablePropertyResolver.class);
        MutablePropertySources propSources = environment.getPropertySources();
        convertPropertySources(interceptionMode, propertyResolver, propSources);
    }
}

​ 当看到此类实现了BeanFactoryPostProcessor类的时候,这个加密解密的思路就很明显了。因为spring提供了BeanFactoryPostProcessor接口里面有postProcessBeanFactory方法,此方法是用来在spring创建BeanDefinition之后,提供对BeanDefinition内的信息进行修改。

以上是关于开发经验springboot配置文件加密详解的主要内容,如果未能解决你的问题,请参考以下文章

3.springboot:springboot配置文件(配置文件YAML属性文件值注入<@Value@ConfigurationProperties@PropertySource,@Im(代码片

3springboot:springboot配置文件(配置文件YAML属性文件值注入<@Value@ConfigurationProperties@PropertySource,@Imp(代码片

SpringBoot配置文件中的数据加密

SpringBoot 使用: 配置文件详解

Spring Boot 配置加载顺序详解

SpringBoot简明教程-yml配置文件详解