Spring Boot: 加密应用配置文件敏感信息

背景

  1. 我们的应用之前使用的是Druid数据库连接池,由于需求我们迁移到HikariCP连接池,druid 数据源加密提供了多种方式:
  • 可以在配置文件my.properties中指定config.decrypt=true
  • 也可以在DruidDataSource的ConnectionProperties中指定config.decrypt=true
  • 也可以在jvm启动参数中指定-Ddruid.config.decrypt=true

但是HikariCP 默认没有提供实现数据源加解密的方法

  1. 应用中会存在多个需要配置敏感信息(比如stfp等),都需要加密,类似于druid加解密方式依赖于工具类的实现,没有统一的加解密标准,麻烦、而且不好维护。

case1:Spring Cloud Config 的解决方案

  1. Config Server 加解密依赖JDK的JCE。

JDK8的下载地址

  1. 配置config serve encrypt.key=foo
  2. 使用config server 提供的加解密接口生成密文
curl localhost:4001/encrypt -d lengleng

密文
  1. 配置文件使用密文
spring:

  datasource:

    password: '{ciper}密文'

xxx: '{ciper}密文'

    
其他的非对称加密等高级配置,参考官方文档。注意一个bug (No key was installed for encryption service

case2:jasypt 的解决方案

一,首先引入Maven/Gradle 依赖

Maven
<dependency>

    <groupId>com.github.ulisesbocchio</groupId>

    <artifactId>jasypt-spring-boot-starter</artifactId>

    <version>1.14</version>

</dependency>

或
Gradle
compile 'com.github.ulisesbocchio:jasypt-spring-boot-starter:1.14'
2.1.0版本是我用的时候最新版本。查看最新版本可以到

https://github.com/ulisesbocchio/jasypt-spring-boot 查看
 

二,application.yml配置文件中增加如下内容(加解密时使用)

#jasypt加密的密匙

jasypt:

  encryptor:

    password: EbfYkitulv73I2p0mXI50JMXoaxZTKJ7

三,在测试用例中生成加密后的秘钥:

  1. 创建我们一个工具包JasyptUtils
package com.testPro;

import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;

import org.jasypt.encryption.pbe.StandardPBEByteEncryptor;

import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;

import org.junit.Test;

public class JasyptUtils {

    /**

     * Jasypt生成加密结果

     *

     * @param password 配置文件中设定的加密密码 jasypt.encryptor.password

     * @param value    待加密值

     * @return

     */

    public static String encryptPwd(String password, String value) {

        PooledPBEStringEncryptor encryptOr = new PooledPBEStringEncryptor();

        encryptOr.setConfig(cryptOr(password));

        String result = encryptOr.encrypt(value);

        return result;

    }

    /**

     * 解密

     *

     * @param password 配置文件中设定的加密密码 jasypt.encryptor.password

     * @param value    待解密密文

     * @return

     */

    public static String decyptPwd(String password, String value) {

        PooledPBEStringEncryptor encryptOr = new PooledPBEStringEncryptor();

        encryptOr.setConfig(cryptOr(password));

        String result = encryptOr.decrypt(value);

        return result;

    }

    public static SimpleStringPBEConfig cryptOr(String password) {

        SimpleStringPBEConfig config = new SimpleStringPBEConfig();

        config.setPassword(password);

        config.setAlgorithm(StandardPBEByteEncryptor.DEFAULT_ALGORITHM);

        config.setKeyObtentionIterations("1000");

        config.setPoolSize("1");

        config.setProviderName("SunJCE");

        config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");

        config.setStringOutputType("base64");

        return config;

    }

    @Test

    public void test() {

        String jasyptPassword = "123456";//盐值

        // 加密

        System.out.println("###encryptPwd:" + encryptPwd(jasyptPassword, "appserver123"));

        // 解密

        System.out.println("###decyptPwd:" + decyptPwd(jasyptPassword, "SaYJ7DkUlL3gxzt4zrNG4t0lGXzk9x9C"));

    }

}

四,将上面生成的name和password替换配置文件中的数据库账户和密码,替换后如下:

--格式:
spring:  
  datasource:  
    password: ENC(DBA提供的密文)

注意上面的 ENC()是固定写法,()里面是加密后的信息。

spring: #数据库相关配置

  datasource:

    driver-class-name: com.mysql.jdbc.Driver #这里加上后缀用来防止mysql乱码,serverTimezone=GMT%2b8设置时区

    url: ENC(i87lLC0ceVq1vK91R+Y6M9fAJQdU7jNp5MW+ndLgacRvPDj42HR8mUE33uFwpWqjOSuDX0d1dd2NilrnW7yJbZmoxuJ3HmOmjwY5+Vhu+e3We4QPDVCr/s/RHsQgYOiWrSQ92Mjammnody/jWI5aaw==)

    username: appserver

    password: ENC(SaYJ7DkUlL3gxzt4zrNG4t0lGXzk9x9C) #appserver123

    jpa:

      hibernate:

        ddl-auto: update

      show-sql: true

    #返回的api接口的配置,全局有效

    jackson: default-property-inclusion: non_null #如果某一个字段为null,就不再返回这个字段 

#url相关配置,这里配置url的基本url

server:

  port: 8888

#jasypt加密的密匙(盐值)

jasypt:

  encryptor:

    password: 123456
其他非对称等高级配置参考
Key                                  Required    Default Value

jasypt.encryptor.password            True        -

jasypt.encryptor.algorithm            False    PBEWithMD5AndDES

jasypt.encryptor.keyObtentionIterations    False    1000

jasypt.encryptor.poolSize            False    1

jasypt.encryptor.providerName          False    SunJCE

jasypt.encryptor.saltGeneratorClassname    False    null

jasypt.encryptor.saltGeneratorClassname    False    org.jasypt.salt.RandomSaltGenerator

jasypt.encryptor.stringOutputType        False    base64

jasypt.encryptor.proxyPropertySources      False    false




总结


  1. Spring Cloud Config 提供了统一的加解密方式,方便使用,但是如果应用配置没有走配置中心,那么加解密过滤是无效的;依赖JCE 对于低版本spring cloud的兼容性不好。
    2. 

  2. jasypt 功能更为强大,支持的加密方式更多,但是如果多个微服务,需要每个服务模块引入依赖配置,较为麻烦;但是功能强大 、灵活。
    3. 

  3. 个人选择 jasypt
    4. 

  4. 源码参考: 基于Spring Cloud、JWT 的微服务权限系统设计
    5. 

  5. https://segmentfault.com/a/1190000012363841
    6. 

  6. https://www.jianshu.com/p/b047ed4a8dfa
    7. 

  7. https://zhiku8.com/springboot-jasypt.html


												


											
Spring Boot: 加密应用配置文件敏感信息的更多相关文章
	

    
								
  1. Spring Boot 配置中的敏感信息如何保护?
		
    在之前的系列教程中,我们已经介绍了非常多关于Spring Boot配置文件中的各种细节用法,比如:参数间的引用.随机数的应用.命令行参数的使用.多环境的配置管理等等. 这些配置相关的知识都是Sprin ...
    
		
    2. 
						
  2. Spring Boot 的核心配置文件有哪几个?它们的区别是什么?
		
    Spring Boot 的核心配置文件是 application 和 bootstrap 配置文件.application 配置文件这个容易理解,主要用于 Spring Boot 项目的自动化配置.b ...
    
		
    3. 
						
  3. spring boot 项目从配置文件中读取maven 的pom.xml 文件标签的内容。
		
    需求: 将pom.xml 文件中的版本号读取到配置文件并打印到日志中. 第一步: 在pom.xml 中添加以下标签. 第二步: 将version 标签的值读取到配置文件中 这里使用 @@  而不是   ...
    
		
    4. 
						
  4. Spring Boot 获取yaml配置文件信息
		
    Spring boot 项目启动过程中: org.springframework.boot.SpringApplication#prepareEnvironment 当程序步入listeners.en ...
    
		
    5. 
						
  5. spring boot的application配置文件
		
      上次我们已经对这个文件见过面了,并且对他进行了一些简单的配置.它有两种配置方式,一个是application.properties,一个是application.yml文件,需要记住,当两个文件都 ...
    
		
    6. 
						
  6. Spring Boot 所有相关的配置信息
		
    加载顺序 如上图所示,图片是从官网上截取的,这些配置信息都会加载,只不过顺序在前的会覆盖掉后面的 上图的所有配置信息都会以(key,value)的形式加载到Spring中的Environment中,也 ...
    
		
    7. 
						
  7. spring boot:用cookie保存i18n信息避免每次请求时传递参数(spring boot 2.3.3)
		
    一,用cookie保存i18n信息的优点? 当开发一个web项目(非api站)时,如果把i18n的选择信息保存到cookie, 则不需要在每次发送请求时都传递所选择语言的参数, 也不需要增加heade ...
    
		
    8. 
						
  8. Spring Boot 2.4 配置文件将加载机制大变化
		
    Spring Boot 2.4.0.M2 刚刚发布,它对 application.properties 和 application.yml 文件的加载方式进行重构.如果应用程序仅使用单个 applic ...
    
		
    9. 
						
  9. 【Android平台安全方案】の #00-请不要在外部存储(SD卡)加密存储的敏感信息
		
    本文翻译自https://www.securecoding.cert.org/confluence/display/java/DRD00-J.+Do+not+store+sensitive+infor ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 极致 Web 性能 —— SPA 性能指南
			
    前言 前端框架时代,为开发体验.效率与页面性能带来,非常大的革命.大家纷纷拿起一系列打包工具(webpack/parcel etc.),配合一系列加载器快速搭建起一个 SPA 页面. SPA 应用带来 ...
    
			
    2. 
						
  2. layui 自定义表单验证 以及提交表单
			
    订购数量</span> <span style="color: red">*</span>: <input type="text ...
    
			
    3. 
						
  3. HttpModel 和 HttpHandle
			
    页面的请求过程: HttpRequest-> inetinfo.exe-> aspnet_isapi.dll-> Http pipeline(命名管道)-> aspnet_wp ...
    
			
    4. 
						
  4. Notepad++ 自动补全,括号自动完成插件,主题和字体设置
			
    Notepad++ 自动补全成对符号http://rabbit52.com/2012/devel/notepad-autocomplete-brackets QuickText 和 Zen Codin ...
    
			
    5. 
						
  5. AC日记——Oulipo poj 3461
			
    Time Limit: 1000MS   Memory Limit: 65536K Total Submissions: 37958   Accepted: 15282 Description The ...
    
			
    6. 
						
  6. Cryptography I 学习笔记 --- 抗碰撞
			
    1. 生日攻击,如果hash函数可以产生n bit的结果,那么生日攻击的时间复杂度在O(nn/2)这个量级.以比特币使用的SHA256为例,其hash结果为256bit,那么如果想完成一次生日攻击,那 ...
    
			
    7. 
						
  7. 大话Spark(4)-一文理解MapReduce Shuffle和Spark Shuffle
			
    Shuffle本意是 混洗, 洗牌的意思, 在MapReduce过程中需要各节点上同一类数据汇集到某一节点进行计算,把这些分布在不同节点的数据按照一定的规则聚集到一起的过程成为Shuffle. 在Ha ...
    
			
    8. 
						
  8. 洛谷——P3387 【模板】缩点
			
    P3387 [模板]缩点 题目背景 缩点+DP 题目描述 给定一个n个点m条边有向图,每个点有一个权值,求一条路径,使路径经过的点权值之和最大.你只需要求出这个权值和. 允许多次经过一条边或者一个点, ...
    
			
    9. 
						
  9. luogu P1616 疯狂的采药
			
    题目背景 此题为NOIP2005普及组第三题的疯狂版. 此题为纪念LiYuxiang而生. 题目描述 LiYuxiang是个天资聪颖的孩子,他的梦想是成为世界上最伟大的医师.为此,他想拜附近最有威望的 ...
    
			
    10. 
						
  10. bzoj 5123: [Lydsy1712月赛]线段树的匹配
			
    设f[0/1][x]为区间[1,x]的根向下 不选(0)或者选(1)  的dp pair<最优值,方案数>. 可以很容易的发现总状态数就是log级别的,因为2*n 与 (2*n+1 或者  ...
    
			
    11.