SpringBoot配置文件敏感信息加密-jasypt

使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。打开application.properties或application.yml,比如mysql登陆密码,redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。

jasypt由一个国外大神写的一个springboot下的工具包。Git地址:https://github.com/ulisesbocchio/jasypt-spring-boot

直接上代码:

1、pom文件中增加依赖:

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.1.1</version>
</dependency>

2、application.yml文件中增加jasypt的秘钥(该秘钥自定义的):

jasypt:
  encryptor:
    #加密秘钥
    password: EbfYkitulv73I2p0mXI50JMXoaxZTKJ7

3、测试类:

@RestController
public class IndexController {

    @Autowired
    private StringEncryptor encryptor;

    /**
     * 测试jasypt加密解密
     */
    @GetMapping("/jasypt")
    public void testJasypt() {
        String password = "123456";
        String encryptPwd = encryptor.encrypt(password);
        System.out.println("加密::" + encryptPwd);
        System.out.println("解密:" + encryptor.decrypt(encryptPwd));
    }

}

4、启动服务,在控制台可以看到jaspyt的默认配置(比如加密方式是PBEWithMD5AndDES):

5、在浏览器请求(端口号自定义):http://localhost:18081/jasypt ,在控制台打印信息:

加密: stqvirrvG8TcLz9mqflBDQ==
解密:123456

jasypt由于其使用的是PBEWithMD5AndDES加密方式,所以每次加密出来的结果都不一样,但是解密都是一样的,所以很适合对数据进行加密

6、将加密的结果替换配置文件中的敏感字段(这里以数据库密码为例,数据库密码是123456):

spring:
  application:
    name: service-provider
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    type: com.alibaba.druid.pool.DruidDataSource
    url: jdbc:mysql://localhost:3306/mydb?autoReconnect=true&failOverReadOnly=false&createDatabaseIfNotExist=true&useSSL=false&useUnicode=true&characterEncoding=utf8
    username: root
    password: ENC(stqvirrvG8TcLz9mqflBDQ==)

上面的 ENC()是固定写法,()里面是加密后的信息。

7、在测试类中增加代码:

    @Value("${spring.datasource.password}")
    private String dbPassword; // 数据库密码

    /**
     * 测试配置文件字段加密后,项目中该字段的值
     */
    @GetMapping("/password")
    public String password() {
        return dbPassword;
    } 

请求http://localhost:18081/password,会发现结果是123456,说明直接将加密文件解密出来了

扩展

a、自定义上面第7点中ENC()的固定写法。在配置文件中增加jasypt.encryptor.property:

jasypt:
  encryptor:
    #加解密秘钥
    password: EbfYkitulv73I2p0mXI50JMXoaxZTKJ7
    #设置前缀后缀
    property:
      prefix: "[email protected]["
      suffix: "]"
    

b、将加解密秘钥放在配置文件中是不安全的,有如下几种解决办法:

1、在启动类上赋值秘钥:

@SpringBootApplication
public class ProviderApplication {

    public static void main(String[] args) {
        /** 配置加解密秘钥,与配置文件的密文分开放 */
        System.setProperty("jasypt.encryptor.password", "travel-app");
//        System.setProperty("jasypt.encryptor.password", "EbfYkitulv73I2p0mXI50JMXoaxZTKJ7");

        SpringApplication.run(ProviderApplication.class, args);
    }

}

2、自定义StringEncryptor:

/**
     * 配置StringEncryptor
     */
    @Bean("jasyptStringEncryptor")
    public StringEncryptor stringEncryptor() {
        PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword("EbfYkitulv73I2p0mXI50JMXoaxZTKJ7");
        config.setAlgorithm("PBEWithMD5AndDES");
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.salt.NoOpIVGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
        return encryptor;
    }

3、使用jar的方式启动

踩过的坑

a、必须配置加解密用的秘钥,即jasypt.encryptor.password,不然启动会报错

b、springboot2.x以下的版本,只能用jasypt1.x的版本。如果用jasypt2.x的版本,启动会报错,详见https://github.com/ulisesbocchio/jasypt-spring-boot/issues/97

原文地址:https://www.cnblogs.com/xuwenjin/p/10842432.html

时间: 2024-11-08 22:24:52

SpringBoot配置文件敏感信息加密-jasypt的相关文章

SpringBoot 配置文件说明

SpringBoot 配置文件说明 默认配置文件:application.yml 或 application.properties 配置文件中属性允许使用占位符例如 ${port:80},运行时使用 Java -jar app.jar --server.port=8081 方式来传递参数 server.port 服务端口,默认为8080 server.port 最大超时时间(分钟),默认为30 server.address 该服务绑定IP地址,启动服务器时如本机不是该IP地址则抛出异常启动失败,

【日常错误】spring-boot配置文件读取不到

最近在用spring-boot做项目时,遇到自定义的配置文件无法读取到的问题,通过在appcation.java类上定义@PropertySource(value = {"classpath:XXX.properties"},encoding="utf-8"),然后在组件中使用@value等方式读取properties文件配置时,始终都是null值,最后发现是由于项目数据层是使用的EJB访问,然后在ejb-config.xml配置文件里定义了这样一个bean: &l

第四章 SpringBoot配置文件

1.springboot配置文件 SpringBoot是基于约定的,所以很多配置都有默认值,但如果想使用自己的配置替换默认配置的话,就可以使用application.properties或者application.yml(application.yaml)进行配置. SpringBoot默认会从Resources目录下加载application.properties或application.yml(application.yaml)文件,其中,application.properties文件是键

springboot配置文件抽离--git管理统一配置中心

springboot配置文件抽离,便于服务器读取对应配置文件,避免项目频繁更改配置文件,影响项目的调试与发布 1.创建统一配置中心项目conifg 1)pom配置依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.0.6.RELEASE</ver

SpringBoot配置文件application.properties数据库配置

1 #DB Configuration 2 spring.datasource.driver-class-name=com.mysql.jdbc.Driver 3 spring.datasource.url=jdbc:mysql://127.0.0.1:3306/user?useUnicode=true&characterEncoding=utf-8&useSSL=false&serverTimezone = GMT 4 spring.datasource.username=roo

Springboot配置文件内容加密

使用的是jasypt-spring-boot-starter,具体介绍可以参考 https://gitee.com/yangziyi2017/Jasypt-Spring-Boot 引入依赖 <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>2.1.0&

【SpringBoot】SpringBoot配置文件及YAML简介

SpringBoot配置文件 SpringBoot使用一个全局的配置文件,配置文件名是固定的; application.properties application.yml 配置文件的作用:修改SpringBoot自动配置的默认值; SpringBoot在底层就自动配置好; YAML简介 AML(YAML Ain't Markup Language) YAML A Markup Language:是一个标记语言 YAML isn't Markup Language:不是一个标记语言; 标记语言:

使用Jasypt对SpringBoot配置文件加密

# **前言** 在日前安全形势越来越严重的情况下,让我意识到在项目中存在一个我们经常忽略的漏洞,那就是我们的项目的配置文件中配置信息的安全,尤其是数据库连接的用户名和密码的安全.所以这里我们就需要对数据库的用户名和密码进行加密,这也是本文的由来.本文采用Jasypt对Spring Boot配置文件加密的相关方法,其实呢,也还有其他方案,具体的会在后面的相关文章中说明. # **引入jasypt** ```xml com.github.ulisesbocchio jasypt-spring-bo

springboot 配置文件application

application.properties # ----------------------------------------# 核心属性# ---------------------------------------- # 文件编码banner.charset= UTF-8# 文件位置banner.location= classpath:banner.txt # 日志配置# 日志配置文件的位置. 例如对于Logback的`classpath:logback.xml`logging.con