druid 加密数据源:如何拦截 Druid 数据源自动注入完成帐密的解密?

Posted 毕小宝

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了druid 加密数据源:如何拦截 Druid 数据源自动注入完成帐密的解密?相关的知识,希望对你有一定的参考价值。

背景

SpringBoot 项目,使用 Druid 自动装配的数据源,数据源的帐号密码配置加密后,如何完成数据源的装配呢?

druid-spring-boot-starter 虽然自带了加密配置,但是密钥也是配置的,如果需要用自定义的加密解密工具,如果不用自带的工具,怎么自定义实现加密数据源的装配呢?

本文从 DruidDataSourceAutoConfigure 类源码入手,仿造该类,自定义一个数据源注入配置,在真正注入 DruidDataSource 之前,对 druid 配置信息完成解密。

主要思考三个问题:

  1. 自定的 Configuration 类中的 @Bean 注入一个 DruidDataSource ,为什么比自动装配的时机早呢?
  2. 如果自定义一个自动装配类, 包含DataSourceProperties 属性,对它的帐号密码解密后,让它在DruidDataSourceAutoConfigure 类之前装配,怎么实现呢?
  3. 自动装配类的工作原理是什么?注入优先级怎么确定的?

加密数据源自主实现流程

Not registered via @EnableConfigurationProperties, 
marked as Spring component, 
or scanned via @ConfigurationPropertiesScan 

@ConfigurationProperties 用法限制,我想到一个解决办法,为当前类加上 @Component,同时制定一个不可能的注入条件:@ConditionalOnProperty(prefix = "xx",name = "xxx", havingValue = "impossible")

不用官方的加密插件,自定义 Druid 的解密配置,我想到的方法是完全仿照 Druid 数据源的自动装配过程,改写 DruidDataSource 的注入过程。

关键是修改 DataSourceProperties 这个类的实例的帐号密码属性,其他完全照搬 DruidDataSourceAutoConfigure 实现即可。

第一步,由于 Druid 自动注入的数据源 DruidDataSourceWrapper 是一个包内类,不能直接拿来用,所以完全拷贝一份这个类,定义为咱们自己的数据源类:

@Component
@ConfigurationProperties("spring.datasource.druid")
@ConditionalOnProperty(prefix = "spring.datasource",name = "encrypted", havingValue = "impossible")
public class MyEncryptedDatasourceWrapper extends DruidDataSource implements InitializingBean 
    @Autowired
    private DataSourceProperties basicProperties;

    public MyEncryptedDatasourceWrapper() 
    

    @Override
    public void afterPropertiesSet() 
        if (super.getUsername() == null) 
            super.setUsername(this.basicProperties.determineUsername());
        

        if (super.getPassword() == null) 
            super.setPassword(this.basicProperties.determinePassword());
        

        if (super.getUrl() == null) 
            super.setUrl(this.basicProperties.determineUrl());
        

        if (super.getDriverClassName() == null) 
            super.setDriverClassName(this.basicProperties.getDriverClassName());
        

    

    @Autowired(
            required = false
    )
    public void autoAddFilters(List<Filter> filters) 
        super.filters.addAll(filters);
    

    @Override
    public void setMaxEvictableIdleTimeMillis(long maxEvictableIdleTimeMillis) 
        try 
            super.setMaxEvictableIdleTimeMillis(maxEvictableIdleTimeMillis);
         catch (IllegalArgumentException var4) 
            super.maxEvictableIdleTimeMillis = maxEvictableIdleTimeMillis;
        

    


第二步,自定义一个 DruidDataSourceAutoConfigure 类,内容与该类一样,但是多一个数据源配置属性:

@Configuration
@EnableConfigurationProperties(DruidStatProperties.class, DataSourceProperties.class)
@Import(DruidSpringAopConfiguration.class, DruidStatViewServletConfiguration.class, DruidWebStatFilterConfiguration.class, DruidFilterConfiguration.class)
public class MyEncryptedDatasourceWrapperConfig 

    /**
     * 该属性封装了 spring.datasource 属性,需要对它的帐号、密码属性进行解密
     */
    @Autowired
    private DataSourceProperties basicProperties;

    /**
     * 使用数据源配置信息,解密帐号和密码后创建数据库连接池
     * @return
     */
    @Bean
    public DataSource dataSource() 
        // TODO 对密码解密并设置回去
        basicProperties.setPassword(password);
        
        return new MyEncryptedDatasourceWrapper();
    

这样就完成了 Spring druid 数据源配置的解密处理了。

基础巩固

boolean proxyBeanMethods() 默认值是 true. 从这个成员变量的注释中,我们可以看到一句话 Specify whether @code @Bean methods should get proxied in order to enforce bean lifecycle behavior, e.g. to return shared singleton bean instances even in case of direct @code @Bean method calls in user code.

其实从这句话,我们就可以初步得到我们想要的答案了:在带有 @Configuration 注解的类中,一个带有 @Bean 注解的方法显式调用另一个带有 @Bean 注解的方法,返回的是共享的单例对象。

参考文档:《Component 和 Configuration 区别》

额外尝试

加密数据源配置的解密流程,核心在 DataSourceProperties 这个实例装配完成后修改密码信息,尝试自定义一个 @Configuration@Bean 注入一个 DataSourceProperties 实例,但是这个对象到了 Druid 自动注入类那里,属性还是没有发生变化:

@Configuration
@EnableConfigurationProperties(DataSourceProperties.class)
public class MyAutoConfig 
    @Autowired
    private DataSourceProperties basicProperties;

    public MyAutoConfig() 
        System.out.println("My Auto config");
    
    
    @Bean
    public DataSourceProperties basicProperties() 
        // TODO 解密配置
        System.out.println("username " + basicProperties.getUsername());
        return basicProperties;
    

这里 @Bean 注入生效了,到了 DruidDataSource 那使用的也是这个实例,单步调试对象地址是一样的,但是改的属性没有生效。

数据源实例化配置时引用的属性:

但是两个地方的属性却不同,前一步解密的信息并没有传递到真正使用的地方。
理论上,同一个对象,前面修改了属性,这里同一个线程里面,属性应该变化了才对呢!不得其解。

启示录

回顾开头的三个问题:

  1. 自定的 Configuration 类中的 @Bean 注入一个 DruidDataSource ,为什么比自动装配的时机早呢?因为 @Bean 属于当前项目扫描路径,它里面的类注入优先级高于第三方 jar 包中的 spring.factories 的装配类。
  2. 如果自定义一个自动装配类, 包含DataSourceProperties 属性,对它的帐号密码解密后,让它在DruidDataSourceAutoConfigure 类之前装配,怎么实现呢?尝试定义一个装配类 @Bean 装配一个数据源 DataSourceProperties 对象,并修改配置。
  3. 自动装配类的工作原理是什么?注入优先级怎么确定的?spring.factories 的本质是 SPI,它针对的是第三方 jar 包,不需要手动配置扫描路径,又需要自动注入的情况,是各种 starter 定义底层实现途径。优先级:本地扫描路径的 Configuration -> 实现了 BeanDefinitionRegistryPostProcessor 接口的类 -> spring.factories 中的自动装配类。

以上是关于druid 加密数据源:如何拦截 Druid 数据源自动注入完成帐密的解密?的主要内容,如果未能解决你的问题,请参考以下文章

如何使用druid加密数据库密码

Druid-Druid数据源加密数据库密码配置

Druid数据库密码加密

SpringBoot使用Druid数据库加密链接完整方案

使用druid 数据池对连接密码加密

druid数据库密码加密程序编写