devbox
酷酷是懒虫
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

SpringBoot配置文件密码加密与解密_springboot 配置文件使用了enc加密,是在哪里被解密的

作者:酷酷是懒虫 | 2024-07-18 07:13:03

springboot 配置文件使用了enc加密,是在哪里被解密的

我们在SpringBoot项目当中,会把数据库的用户名密码等配置直接放在yaml或者properties文件中,这样维护数据库的密码等敏感信息显然是有一定风险的,如果相关的配置文件被有心之人拿到,必然会给项目造成一定的安全风险;

所以为了避免明文密码被直接看到,我们有必要给这些敏感信息做一层加密处理,也就是说,我们的配置文件中配置的都是加密后的密码,在真正需要获取密码的时候再解密出来,这样的话就能很大程度上降低密码被泄漏的风险。

图片

示例展示

我们来看一下这个配置:

  1. spring:
  2.   # 数据库链接配置
  3.   datasource:
  4.     url: jdbc:mysql://xx.xx.xx.xx:3306/database
  5.     driver-class-name: com.mysql.cj.jdbc.Driver
  6.     username: root
  7.     password: "123456"

我们上述的配置spring.datasource.password对应的值为123456,这么敏感的信息直接放在配置文件中很不合适,我们要做的就是对应的值改成一个加密的密文,如下:

  1. spring:
  2.   # 数据库链接配置
  3.   datasource:
  4.     url: jdbc:mysql://xx.xx.xx.xx:3306/database
  5.     driver-class-name: com.mysql.cj.jdbc.Driver
  6.     username: root
  7.     password: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"

这样的话,即使该配置文件被有心之人拿去,也不知道真正的数据库密码是啥,也就无法构成对项目的侵害风险;

原理解析

我们为了实现这个功能,需要了解Spring的相关扩展点以及对应的数据加解密知识,我们先来看看我们应该通过Spring的哪个扩展点进行切入;

我们想要拦截配置数据的话,可以通过实现自定义的BeanFactoryPostProcessor来处理:

  1. public class PropertySourcePostProcessor implements BeanFactoryPostProcessor {
  2.   private ConfigurableEnvironment environment;
  3.   public PropertySourcePostProcessor(ConfigurableEnvironment environment) {
  4.     this.environment = environment;
  5.   }
  6.  
  7.   @Override
  8.   public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
  9.     // 从ConfigurableEnvironment中取出所有的配置数据
  10.     MutablePropertySources propertySources = this.environment.getPropertySources();
  11.     propertySources.stream()
  12.         // 过滤不需要包装的对象
  13.         .filter(s -> !noWrapPropertySource(s))
  14.         // 包装所有的PropertySource
  15.         .map(s -> new EncryPropertySource(s))
  16.         .collect(Collectors.toList())
  17.         // 替换掉propertySources中的PropertySource
  18.         .forEach(wrap -> propertySources.replace(wrap.getName(), wrap));
  19.   }
  20.  
  21.   private boolean noWrapPropertySource(PropertySource propertySource) {
  22.     return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource""org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource");
  23.   }
  24. }

基本原理解析如下:

1.通过ConfigurableEnvironment取出所有的PropertySource并依次遍历;

2.过滤掉不符合我们要求的PropertySource,因为PropertySource有很多子类,并不是所有的PropertySource实例都符合我们包装的要求;

3.对符合要求的PropertySource做一层包装,其实就是静态代理;

4.用包装好的PropertySource替换掉之前的PropertySource实例;

通过上述一系列的操作,我们就可以在PropertySource取值的时候做一些自定义的操作了,比如针对密文密码进行解密;

剩下的另一个问题就是加解密的问题,密码学里面有对称加密非对称加密,这两种加密方式的区别就是对称加密的加密解密都需要同一个密钥,而非对称加密加密的时候需要公钥,解密的时候需要私钥;

了解了对称加密非对称加密的区别,如果我们使用的是对称加密,那么一定要避免密文和密钥放在同一个地方;非对称加密一定要避免密文和私钥放在同一个地方;

工具介绍

接下来我们要介绍一款专门针对这个需求的jar工具,它就是jasypt,我们可以去maven仓库找到相关的包:

  1. <dependency>
  2.     <groupId>com.github.ulisesbocchio</groupId>
  3.     <artifactId>jasypt-spring-boot-starter</artifactId>
  4.     <version>3.0.5</version>
  5. </dependency>

它的实现原理其实就是我们上面所讲述的,通过自定义BeanFactoryPostProcessorConfigurableEnvironment中的PropertySource实例进行拦截包装,在包装类的实现上做一层解密操作,这样就实现了对密文密码的解密;

导入上述依赖后,该工具就已经自动生效了,我们就可以修改对应的配置了,首先我们先针对该工具做一些配置:

  1. jasypt:
  2.   encryptor:
  3.     # 密钥
  4.     password: ""
  5.     property:
  6.       # 密文前缀
  7.       prefix: ""
  8.       # 密文后缀
  9.       suffix: ""

在上述配置中,jasypt.encryptor.password是一定要配置的,这就是加解密的密钥,默认的加密算法是PBEWITHHMACSHA512ANDAES_256;另外jasypt.encryptor.property.prefixjasypt.encryptor.property.suffix分别是密文前缀和密文后缀,是用来标注需要解密的密文的,如果不配置,默认的密文前缀是ENC(,密文后缀是);默认情况下,我们的密文如下所示:

  1. spring:
  2.   datasource:
  3.     password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"

还有一个需要注意的点就是jasypt.encryptor.password不能与密文放在一起,我们可以在项目当中通过系统属性、命令行参数或环境变量传递;

实现自定义加解密

如果jasypt提供的加解密方式不能满足咱们的项目需求,我们还可以自己实现加解密:

  1. @Bean("jasyptStringEncryptor")
  2. public StringEncryptor jasyptStringEncryptor(){
  3.   return new StringEncryptor() {
  4.     @Override
  5.     public String encrypt(String s) {
  6.       // TODO 加密
  7.       return null;
  8.     }
  9.     @Override
  10.     public String decrypt(String s) {
  11.       // TODO 解密
  12.       return null;
  13.     }
  14.   };
  15. }

注意我们的BeanName,默认情况下一定要设置成jasyptStringEncryptor,否则不会生效,如果想要改变这个BeanName,也可以通过修改这个配置参数来自定义StringEncryptor实例所对应的BeanName

  1. jasypt:
  2.   encryptor:
  3.     # 自定义StringEncryptor的BeanName
  4.     bean: ""

如何生成密文

生成密文的这个操作还是要自个儿通过调用StringEncryptor实例来加密生成,可以参考以下代码:

  1. @Component
  2. public class StringEncryptorUtil{
  3.   @Autowired
  4.   private StringEncryptor encryptor;
  5.   
  6.   public void encrypt(){
  7.     String result = encryptor.encrypt("123456");
  8.     System.out.println(result);
  9.   }
  10. }

毕竟需要加密的操作只需要在项目生命周期中执行一次,所以我们只需要简单地写一个工具类调用一下即可。

最后说一句(求关注!别白嫖!)

如果这篇文章对您有所帮助,或者有所启发的话,求一键三连:点赞、转发、在看。

关注公众号:woniuxgg,在公众号中回复:笔记  就可以获得蜗牛为你精心准备的java实战语雀笔记,回复面试、开发手册、有超赞的粉丝福利!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/酷酷是懒虫/article/detail/844206
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号