Spring Boot加密配置文件方法介绍
作者:做网安的小王 发布时间:2023-09-11 17:15:58
在实践中,项目的某些配置信息是需要进行加密处理的,以减少敏感信息泄露的风险。比如,在使用Druid时,就可以基于它提供的公私钥加密方式对数据库的密码进行加密。
但更多时候,比如Redis密码、MQ密码等敏感信息,也需要进行加密,此时就没那么方便了。本篇文章给大家介绍一款Java类库Jasypt,同时基于Spring Boot项目来演示一下如何对配置文件信息进行加密。
一个简单的SpringBoot项目
我们先来创建一个简单的Spring Boot项目,构建一个加密数据运用的场景。
无论通过Idea或官网等方式,先创建一个Spring Boot项目,核心依赖为:
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!-- 为了方便,通常会引入Lombok依赖 -->
<dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId>
</dependency>
创建一个配置文件类ConfigProperties:
@Data
@Component
public class ConfigProperties {
@Value("${conf.url}")private String url;
@Value("${conf.password}")private String password;
}
配置文件中的配置属性注入到该类,以供后续使用。
创建一个Controller类,用来测试验证,是否能够正常运行:
@RestController
@RequestMapping("/")
public class ConfigController {
@Resourceprivate ConfigProperties configProperties;
@RequestMappingpublic void print(){System.out.println(configProperties.getUrl());System.out.println(configProperties.getPassword());}
}
对应ConfigProperties类,application.properties中配置如下:
conf.url=127.0.0.1
conf.password=admin123
此时,启动项目,访问Controller,能够正常打印出配置信息,说明程序可以正常运行。
但配置文件中直接明文展示了password项,如果别人看到该配置文件,就可能导致密码的泄露。
基于Jasypt的加密
针对上述情况,通常,我们会对敏感信息进行加密,避免明文密码信息暴露,提升安全等级。
加密的基本思路是:配置文件中存储加密内容,在解析配置文件注入时进行解密。
但如果拿到项目源码,知道加密算法和秘钥,肯定是可以解密的。这里的加密,只是多一层安全防护,但并不是万能的。
下面看看如何基于Jasypt来进行加密处理。
集成步骤
下面基于上述Spring Boot项目进行改造升级。
环境准备
不同版本的Jasypt使用方法有所不同,这里基于3.0.4版本、JDK8、Spring Boot 2.5.5来进行演示。
在使用之前,首先检查一下JDK8的JRE中是否安装了不限长度的JCE版本,否则在执行加密操作时会抛出解密失败的异常。
进入$JAVA_HOME/jre/lib/security目录,查看是否包含local_policy.jar和US_export_policy.jar两个jar包。如果不包含,则通过Oracle官网进行下载,下载地址:https://pan.baidu.com/s/1pLUNUBvF6TWudeYcf5BNjA?pwd=qgk9。
下载文件为:jce_policy-8.zip
文件内包含三个文件:
README.txt
local_policy.jar
US_export_policy.jar
查看$JAVA_HOME/jre/lib/security目录下是否有这两个jar包文件,如果没有则复制进去,如果有可考虑覆盖。
引入依赖
在Spring Boot中集成Jasypt比较简单,直接引入如下依赖即可:
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.4</version>
</dependency>
此时,Jasypt组件自动配置便已经生效,只需要对需要加密的数据进行处理了。
为了方便对密码进行加密,还可以在pom.xml中的build元素中引入对应的plugin,这个后面会用到:
<plugin><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-maven-plugin</artifactId><version>3.0.4</version>
</plugin>
至此,所有的准备工作已经完成。
内容加密
内容加密有多种方式,这里挑选两种方式进行介绍。
方式一:单元测试类生成密文;
构建如下单元测试类,使用默认实例化的StringEncryptor对密码进行加密:
@SpringBootTest
class SpringBootJasyptApplicationTests {
@Autowiredprivate StringEncryptor stringEncryptor;
@Testvoid contextLoads() {String qwerty1234 = stringEncryptor.encrypt("admin123");System.out.println(qwerty1234);}
}
其中,”admin123“便是要加密的内容。执行上述程序,便可打印加密后的内容。这种形式加密的内容,全部采用默认值。
方式二:通过Maven插件生成密文
在上面已经引入了Jasypt的Maven插件,可通过对应的命令进行生成密码。
第一步:在配置文件中添加加密的密码:
jasypt.encryptor.password=afx11
然后对配置文件中需要加密的数据进行改造,在数据前添加”DEC(“,在数据尾部加上")",修改完如下:
conf.password=DEC(admin123)
这里添加的DEC()是告诉插件,此部分内容需要进行加密处理。注意这里关键字是DEC。
第二步:执行Maven命令,对上述数据进行加密处理
在命令执行以下命令:
mvn jasypt:encrypt -Djasypt.encryptor.password=afx11
此时再看配置文件中的conf.password数据已经变为:
jasypt.encryptor.password=afx11
conf.url=127.0.0.1
conf.password=ENC(209eBdF3+jsV2f8kDjs4NOCzgBxnVgETlR5q2KfhYo5DW2jqvLknv0TndEkXOXm0)
注意原来的DEC变成了ENC,原来的明文密码变成了加密的密文。
此时,如果想查看明文,执行以下命令即可:
mvn jasypt:decrypt -Djasypt.encryptor.password=afx11
该命令不会修改配置文件中的密文为明文,只会在控制台进行明文结果的输出。
jasypt.encryptor.password=afx11
conf.url=127.0.0.1
conf.password=DEC(admin123)
经过上述操作,所有改造步骤已经完成,只需启动系统进行验证即可。
密码的传递方式
完成上述步骤,直接启动系统,访问对应的请求,会发现已经能够成功打印出密码原文了。
上述实例中我们将加密的密码放在了application.properties文件中,这样并不安全,如果查看代码就知道如何解密了。通常,还可以采用另外一种形式来传递参数:在启动命令中传输密码。
比如:
java -jar jasypt-spring-boot-demo-0.0.1-SNAPSHOT.jar --jasypt.encryptor.password=password
这样,密码便不用存储在代码当中了,一定程度上增加了安全性。当然,也可以通过环境变量来进行传递,这样即便开发人员也无法获得生产的密码。
来源:https://blog.csdn.net/text2201/article/details/128684632
猜你喜欢
- 实现一个自定义的 @Conditional 派生注解自定义一个注解,继承 @Conditional 注解// 派生注解@Retention(
- 本文实例讲述了Java编程实现获取当前代码行行号的方法。分享给大家供大家参考,具体如下:最近的项目中,为了实现自定义的log类,能够输出具体
- mapper-locations的作用说明1、mapper-locationsmapper-locations是一个定义mapper接口位置
- java使用stream实现list中对象属性的合并:根据两个List中的某个相同字段合并成一条List,包含两个List中的字段一、前言为
- 1.新建springBoot项目在前面有两种方式2.加入thymeleaf模板引擎SpringBoot推荐使用thymeleaf模板引擎语法
- SmartArt其实就是一个文字的可视化工具,用户可在PowerPoint,Word,Excel中使用该特性创建各种图形图表。SmartAr
- 简介常见的4种使用线程的方法:1实现 Runnable 接口;2实现 Callable 接口;3继承 Thread 类。4匿名内部类的写法。
- 一、maven引入依赖,数据库驱动根据项目需求自行引入<!-- https://mvnrepository.com/artifact/
- 问题之前一直使用Mybatis,最近尝试使用Mybatis-Plus,却在updateById登录成功后更新最近登录时间出现了问题,一般业务
- Timer 详解Timer 和 TimerTask 用于在后台线程中调度任务的 java.
- Springboot导出文件,前端下载文件后端代码可以把请求设置为post,我这里是Get @RequestMapping(value =
- 本文实例为大家分享了java实现简单年龄计算器的具体代码,供大家参考,具体内容如下制作一个如下图年龄计算器根据题目,我做了一个由Calend
- 本文实例为大家分享了java实现双色球抽奖的具体代码,供大家参考,具体内容如下实现双色球先考虑整体思路:1.随机生成7位数的数组为大奖号码(
- 程序员日常工作中,发送http请求特别常见。本文以Java为例,总结发送http请求的多种方式。1. HttpURLConnection使用
- 在本文中,我们将介绍二进制搜索相对于简单线性搜索的优势,并介绍它在 Java 中的实现。1. 需要有效的搜索假设我们在wine-sellin
- 工厂方法模式动机创建一个对象往往需要复杂的过程,所以不适合包含在一个复合工厂中,当有新的产品时,需要修改这个复合的工厂,不利于扩展。而且,有
- 1 依赖配置<parent> <groupId>org.springframework.b
- File类简介package com.file;import java.io.File;import java.io.IOException
- 引言应用 Java 的开源库,编写一个搜索引擎,这个引擎能爬取一个网站的内容。并根据网页内容进行深度爬取,获取所有相关的网页地址和内容,用户
- 附GitHub源码:WebViewExplore一、WebView的基础配置WebSettings ws = getSettings();w