Jasypt對(duì)SpringBoot配置文件加密

更新時(shí)間：2021年05月21日 09:10:43 作者：請(qǐng)叫我頭頭哥

數(shù)據(jù)庫密碼直接明文寫在配置中，對(duì)安全來說，是一個(gè)很大的挑戰(zhàn)。一旦密碼泄漏，將會(huì)帶來很大的安全隱患。尤其在一些企業(yè)對(duì)安全性要求很高，因此我們就考慮如何對(duì)密碼進(jìn)行加密。本文著重介紹Jasypt對(duì)SpringBoot配置文件加密。

引入maven

        <dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>3.0.3</version>
        </dependency>

生成加密串

將連接數(shù)據(jù)庫的用戶名和密碼進(jìn)行加密

    public static void main(String[] args) {
        BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
        //加密所需的salt(鹽)
        textEncryptor.setPassword("Bt%XJ^n1j8mz");
        //要加密的數(shù)據(jù)（數(shù)據(jù)庫的用戶名或密碼）
        String username = textEncryptor.encrypt("toutou");
        String password = textEncryptor.encrypt("demo123456");
        System.out.println("username:"+username);
        System.out.println("password:"+password);
    }

輸出結(jié)果如下：

將用戶名和密碼加密對(duì)應(yīng)生成的結(jié)果復(fù)制下來，后面會(huì)用到。

配置properties

將生成的加密串配置ENC(加密串)到application.properties中

#數(shù)據(jù)庫相關(guān)配置
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/mytest?useSSL=false&useUnicode=true&characterEncoding=utf-8&zeroDateTimeBehavior=convertToNull&serverTimezone=GMT%2b8
# 加密所需的salt(鹽)
#jasypt.encryptor.password=Bt%XJ^n1j8mz
# 默認(rèn)加密方式PBEWithMD5AndDES,可以更改為PBEWithMD5AndTripleDES
#jasypt.encryptor.algorithm=PBEWithMD5AndDES
spring.datasource.username=ENC(d/qt1SXvttpkiugIzTYkxg==)
spring.datasource.password=ENC(rhT6VNpoRUkQYYOHAQ58V4/+fkj9CWfT)
spring.datasource.max-idle=10
spring.datasource.max-wait=10000
spring.datasource.min-idle=5
spring.datasource.initial-size=5

動(dòng)態(tài)salt(鹽)值

解密秘鑰也在配置文件里頭啊，別人拿到你服務(wù)器上面的部署代碼后，不是很輕松的就可以解開這個(gè)密碼了？

為了防止salt(鹽)泄露,反解出密碼.刪除掉application.properties中的 jasypt.encryptor.password 可以在本地運(yùn)行中加參數(shù)。如下圖:

或是在項(xiàng)目部署的時(shí)候使用命令傳入salt(鹽)值。

打包時(shí)隱藏jasypt.encryptor.password,就需要打包時(shí)maven命令增加參數(shù) clean package -Djasypt.encryptor.password=Bt%XJ^n1j8mz 。不加參數(shù)的話打包就會(huì)報(bào)錯(cuò)。如下圖：

然后在部署時(shí)添加參數(shù) Djasypt.encryptor.password 。

部署時(shí)完整命令： java -jar -Djasypt.encryptor.password=Bt%XJ^n1j8mz hello-0.0.1-SNAPSHOT.jar

博客總結(jié)

數(shù)據(jù)加密，是一門歷史悠久的技術(shù)，指通過加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪?，而解密則是通過解密算法和解密密鑰將密文恢復(fù)為明文。它的核心是密碼學(xué)。數(shù)據(jù)加密仍是計(jì)算機(jī)系統(tǒng)對(duì)信息進(jìn)行保護(hù)的一種最可靠的辦法。它利用密碼技術(shù)對(duì)信息進(jìn)行加密，實(shí)現(xiàn)信息隱蔽，從而起到保護(hù)信息的安全的作用。

安全重于泰山。