这篇文章主要介绍了Springboot如何实现对配置文件中的明文密码加密的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇Springboot如何实现对配置文件中的明文密码加密文章都会有所收获,下面我们一起来看看吧。
示例展示
我们来看一下这个配置:
spring:# 数据库链接配置datasource:url: jdbc:mysql://xx.xx.xx.xx:3306/databasedriver-class-name: com.mysql.cj.jdbc.Driverusername: rootpassword: "123456"
我们上述的配置
对应的值为
spring.datasource.password
,这么敏感的信息直接放在配置文件中很不合适,我们要做的就是对应的值改成一个加密的密文,如下:
123456
spring:# 数据库链接配置datasource:url: jdbc:mysql://xx.xx.xx.xx:3306/databasedriver-class-name: com.mysql.cj.jdbc.Driverusername: rootpassword: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"
这样的话,即使该配置文件被有心之人拿去,也不知道真正的数据库密码是啥,也就无法构成对项目的侵害风险;
原理解析
我们为了实现这个功能,需要了解
的相关扩展点以及对应的数据加解密知识,我们先来看看我们应该通过
Spring
的哪个扩展点进行切入;
Spring
我们想要拦截配置数据的话,可以通过实现自定义的
来处理:
BeanFactoryPostProcessor
public class PropertySourcePostProcessor implements BeanFactoryPostProcessor {private ConfigurableEnvironment environment;public PropertySourcePostProcessor(ConfigurableEnvironment environment) {this.environment = environment;}@Overridepublic void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {// 从ConfigurableEnvironment中取出所有的配置数据MutablePropertySources propertySources = this.environment.getPropertySources();propertySources.stream()// 过滤不需要包装的对象.filter(s -> !noWrapPropertySource(s))// 包装所有的PropertySource.map(s -> new EncryPropertySource(s)).collect(Collectors.toList())// 替换掉propertySources中的PropertySource.forEach(wrap -> propertySources.replace(wrap.getName(), wrap));}private boolean noWrapPropertySource(PropertySource propertySource) {return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource", "org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource");}}
基本原理解析如下:
1.通过
取出所有的
ConfigurableEnvironment
并依次遍历;
PropertySource
2.过滤掉不符合我们要求的
,因为
PropertySource
有很多子类,并不是所有的
PropertySource
实例都符合我们包装的要求;
PropertySource
3.对符合要求的
做一层包装,其实就是静态代理;
PropertySource
4.用包装好的
替换掉之前的
PropertySource
实例;
PropertySource
通过上述一系列的操作,我们就可以在
取值的时候做一些自定义的操作了,比如针对密文密码进行解密;
PropertySource
剩下的另一个问题就是加解密的问题,密码学里面有对称加密和非对称加密,这两种加密方式的区别就是对称加密的加密解密都需要同一个密钥,而非对称加密加密的时候需要公钥,解密的时候需要私钥;
了解了对称加密与非对称加密的区别,如果我们使用的是对称加密,那么一定要避免密文和密钥放在同一个地方;
一定要避免密文和私钥放在同一个地方;
非对称加密
工具介绍
接下来我们要介绍一款专门针对这个需求的
工具,它就是
jar
,我们可以去
jasypt
仓库找到相关的包:
maven
<dependency><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-spring-boot-starter</artifactId><version>3.0.5</version></dependency>
它的实现原理其实就是我们上面所讲述的,通过自定义
对
BeanFactoryPostProcessor
中的
ConfigurableEnvironment
实例进行拦截包装,在包装类的实现上做一层解密操作,这样就实现了对密文密码的解密;
PropertySource
导入上述依赖后,该工具就已经自动生效了,我们就可以修改对应的配置了,首先我们先针对该工具做一些配置:
jasypt:encryptor:# 密钥password: ""property:# 密文前缀prefix: ""# 密文后缀suffix: ""
在上述配置中,
是一定要配置的,这就是加解密的密钥,默认的加密算法是
jasypt.encryptor.password
;另外
PBEWITHHMACSHA512ANDAES_256
和
jasypt.encryptor.property.prefix
分别是密文前缀和密文后缀,是用来标注需要解密的密文的,如果不配置,默认的密文前缀是
jasypt.encryptor.property.suffix
,密文后缀是
ENC(
;默认情况下,我们的密文如下所示:
)
spring:datasource:password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"
还有一个需要注意的点就是
不能与密文放在一起,我们可以在项目当中通过系统属性、命令行参数或环境变量传递;
jasypt.encryptor.password
实现自定义加解密
如果
提供的加解密方式不能满足咱们的项目需求,我们还可以自己实现加解密:
jasypt
@Bean("jasyptStringEncryptor")public StringEncryptor jasyptStringEncryptor(){return new StringEncryptor() {@Overridepublic String encrypt(String s) {// TODO 加密return null;}@Overridepublic String decrypt(String s) {// TODO 解密return null;}};}
注意我们的
,默认情况下一定要设置成
BeanName
,否则不会生效,如果想要改变这个
jasyptStringEncryptor
,也可以通过修改这个配置参数来自定义
BeanName
实例所对应的
StringEncryptor
:
BeanName
jasypt:encryptor:# 自定义StringEncryptor的BeanNamebean: ""
如何生成密文
生成密文的这个操作还是要自个儿通过调用
实例来加密生成,可以参考以下代码:
StringEncryptor
@Componentpublic class StringEncryptorUtil{@Autowiredprivate StringEncryptor encryptor;public void encrypt(){String result = encryptor.encrypt("123456");System.out.println(result);}}
毕竟需要加密的操作只需要在项目生命周期中执行一次,所以我们只需要简单地写一个工具类调用一下即可。
以上就是Springboot如何实现对配置文件中的明文密码加密的详细内容,更多关于Springboot如何实现对配置文件中的明文密码加密的资料请关注九品源码其它相关文章!