Java SPringBoot

说明

使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。
打开application.properties或application.yml,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。
jasypt由一个国外大神写了一个SpringBoot下的工具包,用来加密配置文件中的信息。
GitHub Demo地址
https://github.com/jeikerxiao/spring-boot2/tree/master/spring-boot-encrypt

数据用户名和数据库密码加密为例

1、引入包

查看最新版本可以到:
https://github.com/ulisesbocchio/jasypt-spring-boot

  1. <dependency>
  2.   <groupId>com.github.ulisesbocchio</groupId>
  3.   <artifactId>jasypt-spring-boot-starter</artifactId>
  4.   <version>2.1.0</version>
  5. </dependency>

2、配置加/解的密码

  1. # jasypt加密的密匙
  2. jasypt:
  3.   encryptor:
  4.     password: Y6M9fAJQdU7jNp5MW

3、测试用例中生成加密后的秘钥

  1. @RunWith(SpringRunner.class)
  2. @SpringBootTest
  3. public class DatabaseTest {
  5.     @Autowired
  6.     private StringEncryptor encryptor;
  8.     @Test
  9.     public void getPass() {
  10.         String url = encryptor.encrypt("jdbc:mysql://localhost:3306/mydb?autoReconnect=true&serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=utf-8");
  11.         String name = encryptor.encrypt("root");
  12.         String password = encryptor.encrypt("123456");
  13.         System.out.println("database url: " + url);
  14.         System.out.println("database name: " + name);
  15.         System.out.println("database password: " + password);
  16.         Assert.assertTrue(url.length() > 0);
  17.         Assert.assertTrue(name.length() > 0);
  18.         Assert.assertTrue(password.length() > 0);
  19.     }
  20. }

下面是输出加密字符串:

  1. database url: 6Ut7iADnHS18cManoFJuNRQ5QEDfcho/F96SOhsHZdXlHYCa5PSrz6rk48I9eHB7qPp5AxDFBk9xi0I1hi6BJ0DSPYA9443gBAk5JDUxDufjUKsdh6knZJLNELmFJzYrDvCu4S0x22MYdZqJDLbyDUU2JcoezCvs156vmsPgU4A=
  2. database name: fmai72yGYKGlP6vTtX77EQ==
  3. database password: GPMG7FGV+EA9iGkC27u67A==

4、将加密后的字符串替换原明文

applicatioin.yml

  1. server:
  2.   port: 8080
  3. spring:
  4.   # 数据库相关配置
  5.   datasource:
  6.     driver-class-name: com.mysql.cj.jdbc.Driver
  7.     # 这里加上后缀用来防止mysql乱码,serverTimezone=GMT%2b8设置时区
  8.     url: ENC(h20YiPrvNnuuTGjlrE1RVpudMuIQAS6ZPSVo1SPiYVyLen7/TWI5rXVRkStA3MDcoVHQCmLa70wYU6Qo8wwtnsmaXa5jykD3MNhAp5SGJxHsTG5u7tflPdnNmOufyhdsYPxBGWAgibYs9R7yBfrvtwBTRbe096APd3bnG3++Yro=)
  9.     username: ENC(sT6BztXbJEa71eg3pPGYMQ==)
  10.     password: ENC(MpSZFJ9ftq+3+VUANZjr0Q==)
  11.   jpa:
  12.     hibernate:
  13.       ddl-auto: update
  14.     show-sql: true
  15.   # 返回的api接口的配置,全局有效
  16.   jackson:
  17.    # 如果某一个字段为null,就不再返回这个字段
  18.     default-property-inclusion: non_null
  19.     date-format: yyyy-MM-dd HH:mm:ss
  20.     serialization:
  21.       write-dates-as-timestamps: false
  22.     time-zone: GMT+8
  23. # jasypt加密的密匙
  24. jasypt:
  25.   encryptor:
  26.     password: Y6M9fAJQdU7jNp5MW

注意: 上面的ENC()是固定写法。

附言

部署时配置salt(盐)值

为了防止salt(盐)泄露,反解出密码。可以在项目部署的时候使用命令传入salt(盐)值:

  1. java -jar xxx.jar -Djasypt.encryptor.password=Y6M9fAJQdU7jNp5MW

或者在服务器的环境变量里配置,进一步提高安全性。
打开/etc/profile文件

  1. vim /etc/profile

在profile文件末尾插入salt(盐)变量

  1. export JASYPT_PASSWORD = Y6M9fAJQdU7jNp5MW

编译,使配置文件生效

  1. source /etc/profile

运行

  1. java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar