我要评论引言
我们在springboot项目当中,会把数据库的用户名密码等配置直接放在yaml或者properties文件中,这样维护数据库的密码等敏感信息显然是有一定风险的,如果相关的配置文件被有心之人拿到,必然会给项目造成一定的安全风险;所以为了避免明文密码被直接看到,我们有必要给这些敏感信息做一层加密处理,也就是说,我们的配置文件中配置的都是加密后的密码,在真正需要获取密码的时候再解密出来,这样的话就能很大程度上降低密码被泄漏的风险。
示例展示
我们来看一下这个配置:
spring:
# 数据库链接配置
datasource:
url: jdbc:mysql://xx.xx.xx.xx:3306/database
driver-class-name: com.mysql.cj.jdbc.driver
username: root
password: "123456"我们上述的配置spring.datasource.password对应的值为123456,这么敏感的信息直接放在配置文件中很不合适,我们要做的就是对应的值改成一个加密的密文,如下:
spring:
# 数据库链接配置
datasource:
url: jdbc:mysql://xx.xx.xx.xx:3306/database
driver-class-name: com.mysql.cj.jdbc.driver
username: root
password: "aes(dzanbahbwxxzqaosagibcoaw8fv4gyrbid7g70uem24=)"这样的话,即使该配置文件被有心之人拿去,也不知道真正的数据库密码是啥,也就无法构成对项目的侵害风险;
原理解析
我们为了实现这个功能,需要了解spring的相关扩展点以及对应的数据加解密知识,我们先来看看我们应该通过spring的哪个扩展点进行切入;
我们想要拦截配置数据的话,可以通过实现自定义的beanfactorypostprocessor来处理:
public class propertysourcepostprocessor implements beanfactorypostprocessor {
private configurableenvironment environment;
public propertysourcepostprocessor(configurableenvironment environment) {
this.environment = environment;
}
@override
public void postprocessbeanfactory(configurablelistablebeanfactory beanfactory) throws beansexception {
// 从configurableenvironment中取出所有的配置数据
mutablepropertysources propertysources = this.environment.getpropertysources();
propertysources.stream()
// 过滤不需要包装的对象
.filter(s -> !nowrappropertysource(s))
// 包装所有的propertysource
.map(s -> new encrypropertysource(s))
.collect(collectors.tolist())
// 替换掉propertysources中的propertysource
.foreach(wrap -> propertysources.replace(wrap.getname(), wrap));
}
private boolean nowrappropertysource(propertysource propertysource) {
return propertysource instanceof encrypropertysource || stringutils.equalsany(propertysource.getclass().getname(), "org.springframework.core.env.propertysource$stubpropertysource", "org.springframework.boot.context.properties.source.configurationpropertysourcespropertysource");
}
}基本原理解析如下:
❝1.通过configurableenvironment取出所有的propertysource并依次遍历;
2.过滤掉不符合我们要求的propertysource,因为propertysource有很多子类,并不是所有的propertysource实例都符合我们包装的要求;
3.对符合要求的propertysource做一层包装,其实就是静态代理;
4.用包装好的propertysource替换掉之前的propertysource实例;
通过上述一系列的操作,我们就可以在propertysource取值的时候做一些自定义的操作了,比如针对密文密码进行解密;
剩下的另一个问题就是加解密的问题,密码学里面有对称加密和非对称加密,这两种加密方式的区别就是对称加密的加密解密都需要同一个密钥,而非对称加密加密的时候需要公钥,解密的时候需要私钥;
了解了对称加密与非对称加密的区别,如果我们使用的是对称加密,那么一定要避免密文和密钥放在同一个地方;非对称加密一定要避免密文和私钥放在同一个地方;
工具介绍
接下来我们要介绍一款专门针对这个需求的jar工具,它就是jasypt,我们可以去maven仓库找到相关的包:
<dependency>
<groupid>com.github.ulisesbocchio</groupid>
<artifactid>jasypt-spring-boot-starter</artifactid>
<version>3.0.5</version>
</dependency>它的实现原理其实就是我们上面所讲述的,通过自定义beanfactorypostprocessor对configurableenvironment中的propertysource实例进行拦截包装,在包装类的实现上做一层解密操作,这样就实现了对密文密码的解密;
导入上述依赖后,该工具就已经自动生效了,我们就可以修改对应的配置了,首先我们先针对该工具做一些配置:
jasypt:
encryptor:
# 密钥
password: ""
property:
# 密文前缀
prefix: ""
# 密文后缀
suffix: ""在上述配置中,jasypt.encryptor.password是一定要配置的,这就是加解密的密钥,默认的加密算法是pbewithhmacsha512andaes_256;另外jasypt.encryptor.property.prefix和jasypt.encryptor.property.suffix分别是密文前缀和密文后缀,是用来标注需要解密的密文的,如果不配置,默认的密文前缀是enc(,密文后缀是);默认情况下,我们的密文如下所示:
spring:
datasource:
password: "enc(dzanbahbwxxzqaosagibcoaw8fv4gyrbid7g70uem24=)"还有一个需要注意的点就是jasypt.encryptor.password不能与密文放在一起,我们可以在项目当中通过系统属性、命令行参数或环境变量传递;
实现自定义加解密
如果jasypt提供的加解密方式不能满足咱们的项目需求,我们还可以自己实现加解密:
@bean("jasyptstringencryptor")
public stringencryptor jasyptstringencryptor(){
return new stringencryptor() {
@override
public string encrypt(string s) {
// todo 加密
return null;
}
@override
public string decrypt(string s) {
// todo 解密
return null;
}
};
}注意我们的beanname,默认情况下一定要设置成jasyptstringencryptor,否则不会生效,如果想要改变这个beanname,也可以通过修改这个配置参数来自定义stringencryptor实例所对应的beanname:
jasypt:
encryptor:
# 自定义stringencryptor的beanname
bean: ""如何生成密文
生成密文的这个操作还是要自个儿通过调用stringencryptor实例来加密生成,可以参考以下代码:
@component
public class stringencryptorutil{
@autowired
private stringencryptor encryptor;
public void encrypt(){
string result = encryptor.encrypt("123456");
system.out.println(result);
}
}毕竟需要加密的操作只需要在项目生命周期中执行一次,所以我们只需要简单地写一个工具类调用一下即可。
以上就是springboot配置文件密码加密与解密的操作代码的详细内容,更多关于springboot配置文件密码加解密的资料请关注代码网其它相关文章!
发表评论