快捷導(dǎo)航

SpringBoot配置文件密碼加密與解密的操作代碼

更新時間：2024年12月18日 09:07:55 作者：技術(shù)棧人員

我們在SpringBoot項(xiàng)目當(dāng)中,會把數(shù)據(jù)庫的用戶名密碼等配置直接放在yaml或者properties文件中,這樣維護(hù)數(shù)據(jù)庫的密碼等敏感信息顯然是有一定風(fēng)險的,所以我們需要給密碼加解密,本文給大家介紹了SpringBoot配置文件密碼加密與解密的操作代碼,需要的朋友可以參考下

引言

我們在SpringBoot項(xiàng)目當(dāng)中，會把數(shù)據(jù)庫的用戶名密碼等配置直接放在yaml或者properties文件中，這樣維護(hù)數(shù)據(jù)庫的密碼等敏感信息顯然是有一定風(fēng)險的，如果相關(guān)的配置文件被有心之人拿到，必然會給項(xiàng)目造成一定的安全風(fēng)險；所以為了避免明文密碼被直接看到，我們有必要給這些敏感信息做一層加密處理，也就是說，我們的配置文件中配置的都是加密后的密碼，在真正需要獲取密碼的時候再解密出來，這樣的話就能很大程度上降低密碼被泄漏的風(fēng)險。

示例展示

我們來看一下這個配置：

spring:
  # 數(shù)據(jù)庫鏈接配置
  datasource:
    url: jdbc:mysql://xx.xx.xx.xx:3306/database
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: "123456"

我們上述的配置spring.datasource.password對應(yīng)的值為123456，這么敏感的信息直接放在配置文件中很不合適，我們要做的就是對應(yīng)的值改成一個加密的密文，如下：

spring:
  # 數(shù)據(jù)庫鏈接配置
  datasource:
    url: jdbc:mysql://xx.xx.xx.xx:3306/database
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"

這樣的話，即使該配置文件被有心之人拿去，也不知道真正的數(shù)據(jù)庫密碼是啥，也就無法構(gòu)成對項(xiàng)目的侵害風(fēng)險；

原理解析

我們?yōu)榱藢?shí)現(xiàn)這個功能，需要了解Spring的相關(guān)擴(kuò)展點(diǎn)以及對應(yīng)的數(shù)據(jù)加解密知識，我們先來看看我們應(yīng)該通過Spring的哪個擴(kuò)展點(diǎn)進(jìn)行切入；

我們想要攔截配置數(shù)據(jù)的話，可以通過實(shí)現(xiàn)自定義的BeanFactoryPostProcessor來處理：

public class PropertySourcePostProcessor implements BeanFactoryPostProcessor {
  private ConfigurableEnvironment environment;
  public PropertySourcePostProcessor(ConfigurableEnvironment environment) {
    this.environment = environment;
  }
 
  @Override
  public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
    // 從ConfigurableEnvironment中取出所有的配置數(shù)據(jù)
    MutablePropertySources propertySources = this.environment.getPropertySources();
    propertySources.stream()
        // 過濾不需要包裝的對象
        .filter(s -> !noWrapPropertySource(s))
        // 包裝所有的PropertySource
        .map(s -> new EncryPropertySource(s))
        .collect(Collectors.toList())
        // 替換掉propertySources中的PropertySource
        .forEach(wrap -> propertySources.replace(wrap.getName(), wrap));
  }
 
  private boolean noWrapPropertySource(PropertySource propertySource) {
    return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource", "org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource");
  }
}

基本原理解析如下：

?
1.通過ConfigurableEnvironment取出所有的PropertySource并依次遍歷；

2.過濾掉不符合我們要求的PropertySource，因?yàn)镻ropertySource有很多子類，并不是所有的PropertySource實(shí)例都符合我們包裝的要求；

3.對符合要求的PropertySource做一層包裝，其實(shí)就是靜態(tài)代理；

4.用包裝好的PropertySource替換掉之前的PropertySource實(shí)例；

通過上述一系列的操作，我們就可以在PropertySource取值的時候做一些自定義的操作了，比如針對密文密碼進(jìn)行解密；

剩下的另一個問題就是加解密的問題，密碼學(xué)里面有對稱加密和非對稱加密，這兩種加密方式的區(qū)別就是對稱加密的加密解密都需要同一個密鑰，而非對稱加密加密的時候需要公鑰，解密的時候需要私鑰；

了解了對稱加密與非對稱加密的區(qū)別，如果我們使用的是對稱加密，那么一定要避免密文和密鑰放在同一個地方；非對稱加密一定要避免密文和私鑰放在同一個地方；

工具介紹

接下來我們要介紹一款專門針對這個需求的jar工具，它就是jasypt，我們可以去maven倉庫找到相關(guān)的包：

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.5</version>
</dependency>

它的實(shí)現(xiàn)原理其實(shí)就是我們上面所講述的，通過自定義BeanFactoryPostProcessor對ConfigurableEnvironment中的PropertySource實(shí)例進(jìn)行攔截包裝，在包裝類的實(shí)現(xiàn)上做一層解密操作，這樣就實(shí)現(xiàn)了對密文密碼的解密；

導(dǎo)入上述依賴后，該工具就已經(jīng)自動生效了，我們就可以修改對應(yīng)的配置了，首先我們先針對該工具做一些配置：

jasypt:
  encryptor:
    # 密鑰
    password: ""
    property:
      # 密文前綴
      prefix: ""
      # 密文后綴
      suffix: ""

在上述配置中，jasypt.encryptor.password是一定要配置的，這就是加解密的密鑰，默認(rèn)的加密算法是PBEWITHHMACSHA512ANDAES_256；另外jasypt.encryptor.property.prefix和jasypt.encryptor.property.suffix分別是密文前綴和密文后綴，是用來標(biāo)注需要解密的密文的，如果不配置，默認(rèn)的密文前綴是ENC(，密文后綴是)；默認(rèn)情況下，我們的密文如下所示：

spring:
  datasource:
    password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"

還有一個需要注意的點(diǎn)就是jasypt.encryptor.password不能與密文放在一起，我們可以在項(xiàng)目當(dāng)中通過系統(tǒng)屬性、命令行參數(shù)或環(huán)境變量傳遞；

實(shí)現(xiàn)自定義加解密

如果jasypt提供的加解密方式不能滿足咱們的項(xiàng)目需求，我們還可以自己實(shí)現(xiàn)加解密：

@Bean("jasyptStringEncryptor")
public StringEncryptor jasyptStringEncryptor(){
  return new StringEncryptor() {
    @Override
    public String encrypt(String s) {
      // TODO 加密
      return null;
    }
    @Override
    public String decrypt(String s) {
      // TODO 解密
      return null;
    }
  };
}

注意我們的BeanName，默認(rèn)情況下一定要設(shè)置成jasyptStringEncryptor，否則不會生效，如果想要改變這個BeanName，也可以通過修改這個配置參數(shù)來自定義StringEncryptor實(shí)例所對應(yīng)的BeanName：

jasypt:
  encryptor:
    # 自定義StringEncryptor的BeanName
    bean: ""

如何生成密文

生成密文的這個操作還是要自個兒通過調(diào)用StringEncryptor實(shí)例來加密生成，可以參考以下代碼：

@Component
public class StringEncryptorUtil{
  @Autowired
  private StringEncryptor encryptor;
  
  public void encrypt(){
    String result = encryptor.encrypt("123456");
    System.out.println(result);
  }
}

畢竟需要加密的操作只需要在項(xiàng)目生命周期中執(zhí)行一次，所以我們只需要簡單地寫一個工具類調(diào)用一下即可。

以上就是SpringBoot配置文件密碼加密與解密的操作代碼的詳細(xì)內(nèi)容，更多關(guān)于SpringBoot配置文件密碼加解密的資料請關(guān)注腳本之家其它相關(guān)文章！

您可能感興趣的文章: