SpringBoot配置文件中敏感信息加密的三種方法

更新時(shí)間：2024年05月19日 14:38:53 作者：大骨熬湯

當(dāng)我們將項(xiàng)目部署到服務(wù)器上時(shí),一般會(huì)在jar包的同級(jí)目錄下加上application.yml配置文件,這樣可以在不重新?lián)Q包的情況下修改配置,這種方式存在安全隱患,如果配置文件泄露,就會(huì)造成數(shù)據(jù)庫(kù)密碼泄露,所以本文給大家介紹了SpringBoot配置文件中敏感信息加密的三種方法

一. 背景

當(dāng)我們將項(xiàng)目部署到服務(wù)器上時(shí)，一般會(huì)在jar包的同級(jí)目錄下加上application.yml配置文件，這樣可以在不重新?lián)Q包的情況下修改配置。

一般會(huì)將數(shù)據(jù)庫(kù)連接、Redis連接等放到配置文件中。

例如配置數(shù)據(jù)庫(kù)連接：

spring:
  servlet:
    multipart:
      max-file-size: 10MB # 文件大小限制
      max-request-size: 100MB # 請(qǐng)求大小限制
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    url: jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf-8&serverTimezone=Asia/Shanghai
    username: root
    password: 123456

這種方式存在安全隱患，如果配置文件泄露，就會(huì)造成數(shù)據(jù)庫(kù)密碼泄露。

所以需要將配置文件中數(shù)據(jù)庫(kù)密碼等敏感數(shù)據(jù)加密，然后在使用的時(shí)候解密后再使用。
推薦使用第三種方式。

二. 方法介紹

本文介紹三種方式。

1. 解密方法嵌入到業(yè)務(wù)邏輯代碼中

例如我可以在service或者正常的業(yè)務(wù)代碼中去加密后再使用。

但是這種和業(yè)務(wù)耦合度高，不推薦。

2. 使用jasypt

2.1 第一步：pom引入依賴(lài)

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.1.2</version>
</dependency>

2.2 第二步：application.yml中增加jasypt配置

配置文件里配置該算法加解密的鹽值。jaspypt算法不需要我們自己實(shí)現(xiàn)，該第三方庫(kù)已經(jīng)實(shí)現(xiàn)了。我們僅需要配置這個(gè)鹽值即可。

# 如果密文加鹽，需要配置鹽值
jasypt:
  encryptor:
    password: ueiej@8e8r

2.3 第三步：application.yml中密文替代明文。

配置文件里將加密后得到的密文用ENC(密文)方式配置即可。項(xiàng)目啟動(dòng)的時(shí)候，程序會(huì)自動(dòng)去解析配置文件中值為ENC(密文)格式的配置，然后解密后加載程序。

數(shù)據(jù)的加密可以自己實(shí)現(xiàn)工具類(lèi)來(lái)加密，或者一些在線(xiàn)網(wǎng)站提供jasypt的加解密，得到加密后的密文后，將密文替換明文即可。

例如：

password: ENC(UBHpSHxjL2F8ZiNTJUciZw==)

到此就全部結(jié)束了。項(xiàng)目啟動(dòng)的時(shí)候程序會(huì)自動(dòng)去解密，并注入到實(shí)際的springApplication中。

優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：是引入第三方庫(kù)，簡(jiǎn)單匹配一下即可，業(yè)務(wù)代碼不需要任何改動(dòng)。

缺點(diǎn)：是把jasypt的鹽放到配置文件中，那實(shí)際上你的加密數(shù)據(jù)也跟裸奔一樣了，別人一樣可以用這個(gè)jasypt解密得到你的數(shù)據(jù)庫(kù)密碼等加密數(shù)據(jù)。

3. 使用自定義加解密算法并自動(dòng)裝配

3.1 第一步：確定加解密規(guī)則，編寫(xiě)工具類(lèi)

我們可以自定義加解密算法來(lái)實(shí)現(xiàn)數(shù)據(jù)的加解密，這里采用AES算法。工具類(lèi)的代碼省略。

3.2 第二步：實(shí)現(xiàn)EnvironmentPostProcessor

Spring Boot沒(méi)有為加密屬性值提供任何內(nèi)置支持。 EnvironmentPostProcessor 接口允許你在應(yīng)用程序啟動(dòng)前操作 Environment，可以用來(lái)修改Spring Environment 中包含的值。實(shí)現(xiàn)接口，并在接口里遍歷所有的配置項(xiàng)，將指定的配置項(xiàng)解密后重新寫(xiě)入Environment。

示例：

public class DecryptEnvironmentPostProcessor implements EnvironmentPostProcessor {
    @Override
    public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {
        Properties props = new Properties();  // 臨時(shí)存儲(chǔ)需要替換的配置
        // 假設(shè)加密密碼前綴為 "ENC("，后綴為 ")"
        MutablePropertySources propertySources = environment.getPropertySources();
        for (PropertySource<?> propertySource : propertySources) {
            if (propertySource instanceof EnumerablePropertySource) {
                EnumerablePropertySource<?> enumerablePropertySource = (EnumerablePropertySource<?>) propertySource;
                String[] propertyNames = enumerablePropertySource.getPropertyNames();
                // 遍歷所有配置key:value
                for (String propertyName : propertyNames) {
                    String propertyVal = environment.getProperty(propertyName);
                    // 根據(jù)自己寫(xiě)的規(guī)則來(lái)解析那些配置是需要解密的
                    if (propertyVal != null && propertyVal.startsWith("ENC(") && propertyVal.endsWith(")")) {
                        // 解析得到加密的數(shù)據(jù)
                        String encryptedValue = propertyVal.substring(4, propertyVal.length() - 1);
                        // 調(diào)用自定義工具類(lèi)解密
                        String decryptedValue = AESUtil.decryptEcbMode(encryptedValue);
                        // 保存需要替換的配置
                        props.put(propertyName, decryptedValue);
                    }
                }
            }
        }
        // 添加解密后的屬性到環(huán)境中
        if (!props.isEmpty()) {
            PropertiesPropertySource pps = new PropertiesPropertySource("decryptedProperties", props);
            environment.getPropertySources().addFirst(pps);
        }
    }
}

3.3 自動(dòng)裝配

在resources/META-INF/spring.factories中注冊(cè)EnvironmentPostProcessor。

org.springframework.boot.env.EnvironmentPostProcessor=\  
your.package.DecryptEnvironmentPostProcessor

這里把自己實(shí)現(xiàn)的.DecryptEnvironmentPostProcesso的全路徑放進(jìn)去即可。

沒(méi)有META-INF/spring.factories文件的，直接建好目錄新增這個(gè)文件就行。

3.4 配置文件密文替換明文

使用自定義的工具類(lèi)將密碼加密，得到密文。用密文替換配置中的密文。

這里我依然使用ENC(密文)的格式去配置，這個(gè)規(guī)則可以自己定義，只要修改DecryptEnvironmentPostProcessor的方法中的匹配邏輯即可。

例如：

spring:  
  datasource:  
    password: ENC(你的加密密碼)

注意事項(xiàng)

你可以寫(xiě)死你的加密的配置項(xiàng)，然后在postProcessEnvironme()方法里找到對(duì)應(yīng)的配置項(xiàng)解密?；蛘吣憧梢詫⒓用艿乃袛?shù)據(jù)都用ENC（加密的數(shù)據(jù)）表示，然后在postProcessEnvironme方法里匹配后解密即可。當(dāng)然這里的編寫(xiě)規(guī)則你可以自己定義，只要能匹配出來(lái)即可。

例如我的配置如下：

spring:
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    url: jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf-8&serverTimezone=Asia/Shanghai
    username: root
    password: ENC(UBHpSHxjL2F8ZiNTJUciZw==)

其中數(shù)據(jù)庫(kù)的密碼就是AES算法解密后的結(jié)果。

總結(jié)

建議用第三種方式，因?yàn)檫@種加密算法可以自定義，并且不需要把加解密的秘鑰放到配置文件里，即便有人拿到配置文件，也無(wú)法得到真實(shí)的密碼，更加的安全。

而且第三種方式對(duì)業(yè)務(wù)代碼沒(méi)有侵入，也不需要特定引入第三方庫(kù)和配置其他東西。

以上就是SpringBoot配置文件中敏感信息加密的三種方法的詳細(xì)內(nèi)容，更多關(guān)于SpringBoot敏感信息加密的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章:

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

SpringBoot配置文件中敏感信息加密的三種方法

目錄

一. 背景

二. 方法介紹

1. 解密方法嵌入到業(yè)務(wù)邏輯代碼中

2. 使用jasypt

2.1 第一步：pom引入依賴(lài)

2.2 第二步：application.yml中增加jasypt配置

2.3 第三步：application.yml中密文替代明文。

優(yōu)缺點(diǎn)

3. 使用自定義加解密算法并自動(dòng)裝配

3.1 第一步：確定加解密規(guī)則，編寫(xiě)工具類(lèi)

3.2 第二步：實(shí)現(xiàn)EnvironmentPostProcessor

3.3 自動(dòng)裝配

3.4 配置文件密文替換明文

注意事項(xiàng)

總結(jié)

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線(xiàn)小工具

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线 免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

SpringBoot配置文件中敏感信息加密的三種方法

目錄

一. 背景

二. 方法介紹

1. 解密方法嵌入到業(yè)務(wù)邏輯代碼中

2. 使用jasypt

2.1 第一步：pom引入依賴(lài)

2.2 第二步：application.yml中增加jasypt配置

2.3 第三步：application.yml中密文替代明文。

優(yōu)缺點(diǎn)

3. 使用自定義加解密算法并自動(dòng)裝配

3.1 第一步：確定加解密規(guī)則，編寫(xiě)工具類(lèi)

3.2 第二步：實(shí)現(xiàn)EnvironmentPostProcessor

3.3 自動(dòng)裝配

3.4 配置文件密文替換明文

注意事項(xiàng)

總結(jié)

相關(guān)文章

最新評(píng)論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線(xiàn)小工具

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

2.3 第三步：application.yml中密文替代明文。