JBoss下配置数据源加密

一、JBoss下配置数据源时，如果密码直接暴露给了系统的操作员或者维护人员，显然就增加了数据库不安全的因素。

MySQL Datasource配置样例

1. <?xml version="1.0" encoding="UTF-8"?>
2. <!-- ===================================================================== -->
3. <!--                                                                       -->
4. <!--  JBoss Server Configuration                                           -->
5. <!--                                                                       -->
6. <!-- ===================================================================== -->
7. <!-- See http://www.jboss.org/community/wiki/Multiple1PC for information about local-tx-datasource -->
8. <!-- $Id: mssql-ds.xml 97536 2009-12-08 14:05:07Z jesper.pedersen $ -->
9. <!-- ======================================================================-->
10. <!-- New ConnectionManager setup for Microsoft SQL Server 2005  driver     -->
11. <!-- Further information about the Microsoft JDBC Driver version 1.1      -->
12. <!-- can be found here:                                                   -->
13. <!-- http://msdn2.microsoft.com/en-us/library/aa496082.aspx               -->
14. <!-- ===================================================================== -->
15. <datasources>
16. <local-tx-datasource>
17. <jndi-name>MSSQLDS</jndi-name>
18. <connection-url>jdbc:microsoft:sqlserver://localhost:1433;DatabaseName=MyDatabase</connection-url>
19. <driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
20. <user-name>admin</user-name>
21. <password>password</password>
22. <!-- sql to call when connection is created
23. <new-connection-sql>some arbitrary sql</new-connection-sql>
24. -->
25. <!-- sql to call on an existing pooled connection when it is obtained from pool
26. <check-valid-connection-sql>some arbitrary sql</check-valid-connection-sql>
27. -->
28. <!-- corresponding type-mapping in the standardjbosscmp-jdbc.xml (optional) -->
29. <metadata>
30. <type-mapping>MS SQLSERVER2000</type-mapping>
31. </metadata>
32. </local-tx-datasource>
33. </datasources>

不用担心，JBoss本身提供了对密码进行加密的工具org.jboss.resource.security.SecureIdentityLoginModule

可以在Windows下用如下命令拿到密码的加密字串：

1. D:\JBoss\jboss-6.1.0.Final>java -cp client\jboss-logging.jar;lib\jbosssx.jar org.jboss.resource.security.SecureIdentityLoginModule password
2. Encoded password: 5dfc52b51bd35553df8592078de921bc

二、拿到加密的密码后就可以进行加密的数据源配置了
1. 配置 MySQL Datasource

1. <?xml version="1.0" encoding="UTF-8"?>
2. <!-- ===================================================================== -->
3. <!--                                                                       -->
4. <!--  JBoss Server Configuration                                           -->
5. <!--                                                                       -->
6. <!-- ===================================================================== -->
7. <!-- See http://www.jboss.org/community/wiki/Multiple1PC for information about local-tx-datasource -->
8. <!-- $Id: mssql-ds.xml 97536 2009-12-08 14:05:07Z jesper.pedersen $ -->
9. <!-- ======================================================================-->
10. <!-- New ConnectionManager setup for Microsoft SQL Server 2005  driver     -->
11. <!-- Further information about the Microsoft JDBC Driver version 1.1      -->
12. <!-- can be found here:                                                   -->
13. <!-- http://msdn2.microsoft.com/en-us/library/aa496082.aspx               -->
14. <!-- ===================================================================== -->
15. <datasources>
16. <local-tx-datasource>
17. <jndi-name>MSSQLDS</jndi-name>
18. <connection-url>jdbc:microsoft:sqlserver://localhost:1433;DatabaseName=MyDatabase</connection-url>
19. <driver-class>com.microsoft.sqlserver.jdbc.SQLServerDriver</driver-class>
20. <!-- REPLACED WITH security-domain BELOW
21. <user-name>admin</user-name>
22. <password>password</password>
23. -->
24. <security-domain>EncryptDBPassword</security-domain>
25. <!-- sql to call when connection is created
26. <new-connection-sql>some arbitrary sql</new-connection-sql>
27. -->
28. <!-- sql to call on an existing pooled connection when it is obtained from pool
29. <check-valid-connection-sql>some arbitrary sql</check-valid-connection-sql>
30. -->
31. <!-- corresponding type-mapping in the standardjbosscmp-jdbc.xml (optional) -->
32. <metadata>
33. <type-mapping>MS SQLSERVER2000</type-mapping>
34. </metadata>
35. </local-tx-datasource>
36. </datasources>

2. 配置login-config.xml（一般放到 src\main\resources\META-INF 目录下）

1. <?xml version=‘1.0‘?>
2. <!DOCTYPE policy PUBLIC
3. "-//JBoss//DTD JBOSS Security Config 3.0//EN"
4. "http://www.jboss.org/j2ee/dtd/security_config.dtd">
5. <policy>
6. <!-- Example usage of the SecureIdentityLoginModule -->
7. <application-policy name="EncryptedMySQLDbRealm">
8. <authentication>
9. <login-module code="org.jboss.resource.security.SecureIdentityLoginModule" flag="required">
10. <module-option name="username">admin</module-option>
11. <module-option name="password">5dfc52b51bd35553df8592078de921bc</module-option>
12. <module-option name="managedConnectionFactoryName">jboss.jca:service=LocalTxCM,name=MSSQLDS</module-option>
13. </login-module>
14. </authentication>
15. </application-policy>
16. </policy>

3. 配置jboss-service.xml（一般放到 src\main\resources\META-INF 目录下。我是通过EJB实现DynamicLoginConfig，希望各位提供更便捷的方案）

1. <?xml version="1.0" encoding="UTF-8"?>
2. <server>
3. <mbean code="org.jboss.security.auth.login.DynamicLoginConfig" name="jboss:service=Test.DynamicLoginConfig">
4. <attribute name="AuthConfig">META-INF/login-config.xml</attribute>
5. <!-- The service which supports dynamic processing of login-config.xml configurations. -->
6. <depends optional-attribute-name="LoginConfigService">jboss.security:service=XMLLoginConfig</depends>
7. <!-- Optionally specify the security mgr service to use when this service
8. is stopped to flush the auth caches of the domains registered by this service. -->
9. <depends optional-attribute-name="SecurityManagerService">jboss.security:service=JaasSecurityManager</depends>
10. </mbean>
11. </server>

三、最后给大家介绍一种解密JBoss加密工具加密的密码
1. 找到SecureIdentityLoginModule所在的包 D:\JBoss\jboss-6.1.0.Final\lib\jbosssx.jar
找到SecureIdentityLoginModule.class，反编译一下就全明白了
加密使用的是： private static String encode(String secret)
自然解密的到是：private static char[] decode(String secret)

注：推荐反编译工具 JDGUI

2. 在Eclipse下新建包 org.jboss.resource.security，新建SecureIdentityLoginModule.java 和PasswordDecoder.java

SecureIdentityLoginModule.java（这个类只是为了能让 PasswordDecoder 编译通过，没有实际意义）

1. package org.jboss.resource.security;
2. public class SecureIdentityLoginModule {
3. private static String encode(String secret) {
4. return secret;
5. }
6. private static char[] decode(String secret) {
7. System.out.println("Input password: " + secret);
8. return new char[] { ‘0‘, ‘1‘, ‘2‘, ‘3‘, ‘4‘, ‘5‘ };
9. }
10. }

PasswordDecoder.java（利用反射调用SecureIdentityLoginModule 里 private static char[] decode(String secret) 方法）

1. package org.jboss.resource.security;
2. import java.lang.reflect.Method;
3. /**
4. * Decode the encoded password.
5. *
6. * @author 酒樽舞曲
7. *
8. */
9. public class PasswordDecoder {
10. public static void main(String args[]) throws Exception {
11. Class<SecureIdentityLoginModule> cla = SecureIdentityLoginModule.class;
12. Method m = cla.getDeclaredMethod("decode", String.class);
13. m.setAccessible(true);
14. Object obj = m.invoke(null, args[0]);
15. char[] chars = (char[]) obj;
16. System.out.println("Decoded password: " + new String(chars));
17. }
18. }

3. 将编译好的 PasswordDecoder.class 放到 D:\JBoss\jboss-6.1.0.Final\lib\jbosssx.jar 中 \org\jboss\resource\security\ 下 （做坏事前先备份）

4. 解密
在Windows下用如下命令拿到密文的解密字串：

1. D:\JBoss\jboss-6.1.0.Final>java -cp client\jboss-logging.jar;lib\jbosssx.jar org.jboss.resource.security.PasswordDecoder 5dfc52b51bd35553df8592078de921bc
2. Decoded password: password