最近在做项目的过程中,PSS提出配置文件中类似数据库连接需要的用户名、密码等敏感信息需要加密处理(之前一直是明文的)。

为了快速完成任务,网上搜刮到jasypt包,也有相应的starter,使用方法可以参考blog

但是还是想具体弄清楚背后的实现。偶然看到Spring Boot中有个EnvironmentPostProcessor接口。看名字,它的实现类应该在配置文件加载完和Spring容器开始初始化之前起作用。这样的话,我们就可以实现该接口用来定制化配置信息,包括解密。

话不多说,show code,

 @Component

 public class DecryptAESConfigProcessor implements EnvironmentPostProcessor {

     private static short INDEX = 0;

     private static String ITEM_FORMAT = "spring.config.decrypt-items[%d]";

     private static Pattern PATTERN = Pattern.compile("AES\\((.+)\\)");

     private static StringBuffer SB = new StringBuffer();

     @Override

     public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {

         MutablePropertySources propertySources = environment.getPropertySources();

         for (PropertySource propertySource: propertySources) {

             if (propertySource instanceof OriginTrackedMapPropertySource){

                 INDEX = 0;

                 OriginTrackedMapPropertySource otmps = (OriginTrackedMapPropertySource)propertySource;

                 //System.out.println("property name = " + otmps.getName());

                 Map<String, Object> source = otmps.getSource();

                 String secretSalt = source.getOrDefault("spring.config.secret-salt", "").toString();

                 if (!"".equals(secretSalt)){

                     String salt = CommonUtil.decrypt(secretSalt, "sns");

                     while (INDEX > -1){

                         String item = String.format(ITEM_FORMAT, INDEX);

                         if (source.containsKey(item)){

                             String itemValue = source.get(item).toString();

                             String propertyValue = source.getOrDefault(itemValue, "").toString();

                             Matcher matcher = PATTERN.matcher(propertyValue);

                             boolean findAES = false;

                             while (matcher.find()){

                                 //decrypt each AES()

                                 findAES = true;

                                 String decryptStr = CommonUtil.decrypt(matcher.group(1), salt);

                                 matcher.appendReplacement(SB, decryptStr);

                             }

                             if (!findAES){

                                 //decrypt entire item

                                 source.put(itemValue, CommonUtil.decrypt(propertyValue, salt));

                             } else {

                                 matcher.appendTail(SB);

                                 source.put(itemValue, SB.toString());

                             }

                             SB.delete(0, SB.length());

                             INDEX++;

                         } else {

                             INDEX = -1;

                         }

                     }

                 }

             }

         }

     }

 }

注意:需要将DecryptAESConfigProcessor声明到spring.factories中。

org.springframework.boot.env.EnvironmentPostProcessor=\
org.chris.springboot.config_encrypt.config.DecryptAESConfigProcessor

  

public class CommonUtil {

    private static final String KEY_ALGORITHM = "AES";

    private static final String DEFAULT_CIPHER_ALGORITHM = "AES/ECB/PKCS5Padding";

    private static Cipher CIPHER;

    private static KeyGenerator KEY_GENERATOR;

    static {

        try {

            CIPHER = Cipher.getInstance(DEFAULT_CIPHER_ALGORITHM);

            KEY_GENERATOR = KeyGenerator.getInstance(KEY_ALGORITHM);

        } catch (NoSuchAlgorithmException e) {

            e.printStackTrace();

        } catch (NoSuchPaddingException e) {

            e.printStackTrace();

        }

    }

    /**

     * Decrypt by AES

     * @param content

     * @param salt

     * @return

     */

    public static String decrypt(String content, String salt) {

        if (Objects.nonNull(content)) {

            try {

                byte[] decrypted = Base64.getDecoder().decode(content.getBytes("UTF-8"));

                CIPHER.init(Cipher.DECRYPT_MODE, getSecretKey(salt));

                return new String(CIPHER.doFinal(decrypted));

            } catch (Exception e) {

                e.printStackTrace();

            }

        }

        return null;

    }

    /**

     * Encrypt by AES

     * @param content

     * @param salt

     * @return

     */

    public static String encrypt(String content, String salt) {

        if (Objects.nonNull(content)) {

            try {

                CIPHER.init(Cipher.ENCRYPT_MODE, getSecretKey(salt));

                byte[] encrypted = CIPHER.doFinal(content.getBytes("UTF-8"));

                return Base64.getEncoder().encodeToString(encrypted);

            } catch (Exception e) {

                e.printStackTrace();

            }

        }

        return null;

    }

    /**

     * Generate encrypted salt

     * @param salt

     * @return

     */

    private static SecretKeySpec getSecretKey(final String salt) {

        KEY_GENERATOR.init(128, new SecureRandom(salt.getBytes()));

        SecretKey secretKey = KEY_GENERATOR.generateKey();

        return new SecretKeySpec(secretKey.getEncoded(), KEY_ALGORITHM);

    }

}

最后,配置文件中需要有类似以下配置项

解密规则如下,

1. 采用AES加密解密;

2. 在配置文件中

 (1) 通过spring.config.decrypt-items指定需要解密的配置

 (2) 通过spring.config.secret-salt指定AES的key(最好加密)

3. 如果需要解密的配置项中存在AES()模式的字符串,将会解密 () 中的内容,否则解密整个配置项

Spring Boot - 配置信息后处理的更多相关文章

  1. Redis篇之操作、lettuce客户端、Spring集成以及Spring Boot配置

    Redis篇之操作.lettuce客户端.Spring集成以及Spring Boot配置 目录 一.Redis简介 1.1 数据结构的操作 1.2 重要概念分析 二.Redis客户端 2.1 简介 2 ...

  2. Spring Boot 配置优先级顺序

    一般在一个项目中,总是会有好多个环境.比如: 开发环境 -> 测试环境 -> 预发布环境 -> 生产环境 每个环境上的配置文件总是不一样的,甚至开发环境中每个开发者的环境可能也会有一 ...

  3. spring boot配置springMVC拦截器

    spring boot通过配置springMVC拦截器 配置拦截器比较简单, spring boot配置拦截器, 重写preHandle方法. 1.配置拦截器: 2重写方法 这样就实现了拦截器. 其中 ...

  4. spring boot配置mybatis和事务管理

    spring boot配置mybatis和事务管理 一.spring boot与mybatis的配置 1.首先,spring boot 配置mybatis需要的全部依赖如下: <!-- Spri ...

  5. Spring Boot 配置元数据指南

    1. 概览 在编写 Spring Boot 应用程序时,将配置属性映射到 Java bean 上是非常有用的.但是,记录这些属性的最好方法是什么呢? 在本教程中,我们将探讨 Spring Boot C ...

  6. spring boot 配置虚拟静态资源文件

    我们实现的目的是:通过spring boot 配置静态资源访问的虚拟路径,可实现在服务器,或者在本地通过:http://ip地址:端口/资源路径/文件名  ,可直接访问文件 比如:我们本地电脑的:E: ...

  7. Spring Boot配置,读取配置文件

    Spring Boot配置,读取配置文件 一.配置Spring Boot 1.1 服务器配置 1.2 使用其他Web服务器 1.3 配置启动信息 1.4 配置浏览器显示ico 1.5 Yaml语法 1 ...

  8. Spring Boot -- 配置切换指南

    一般在一个项目中,总是会有好多个环境.比如: 开发环境 -> 测试环境 -> 预发布环境 -> 生产环境 每个环境上的配置文件总是不一样的,甚至开发环境中每个开发者的环境可能也会有一 ...

  9. spring boot 配置注入

    spring boot配置注入有变量方式和类方式(参见:<spring boot 自定义配置属性的各种方式>),变量中又要注意静态变量的注入(参见:spring boot 给静态变量注入值 ...

随机推荐

  1. 【排序】逆序对IV

    问题 D: [排序]逆序对IV 时间限制: 1 Sec  内存限制: 128 MB提交: 20  解决: 15[提交] [状态] [讨论版] [命题人:] 题目描述 “装满了鹅卵石的瓶子是满的吗?”墨 ...

  2. python 传不可变对象 or 可变对象

    可更改(mutable)与不可更改(immutable)对象 在 python 中,strings, tuples, 和 numbers 是不可更改的对象,而 list,dict 等则是可以修改的对象 ...

  3. 【MySQL】undo,redo,2PC,恢复思维导图

    http://blog.itpub.net/22664653/viewspace-2131353/

  4. JavaScrip book

     1.<JavaScript: The Good Parts>中文版:<JavaScript语言精粹>2.<Professional JavaScript for Web ...

  5. linux命令详解:tr命令

    转:http://www.cnblogs.com/lwgdream/archive/2013/11/05/3407809.html 前言 通过tr命令来转化数据,比如大小写的转换:用转换成另外一种字符 ...

  6. 【Linux】Linux下 环境变量/etc/profile、/etc/bashrc、~/.bashrc的区别【转】

    转自:http://blog.csdn.net/qiao1245/article/details/44650929 ------------------------------------------ ...

  7. 为什么输入shutdown -h -t会报错:command not fount

    如果是直接用普通用户($)的身份进行输入[user@localhost ~]$ shutdown -h -t 是不能执行,因为普通用户没有关闭机器的权限. 然而直接使用[user@localhost ...

  8. VBO与VAO 【转】

    我想大家都已经熟悉VBO了吧.在GL3.0时代的VBO大体还是处于最重要的地位,但是与此同时也出现了不少新的用法和辅助役,其中一个就是VAO.本文大致小记一下这两者的联系,帮助大家理解一下这个角色.— ...

  9. 关于hibernate中映射中有many to one等外键关联时的问题

    hibernate中的对象的3种状态的理解及导致报错object references an unsaved transient instance - save the transient insta ...

  10. ASP.NET MVC4网站部署在阿里ECS云服务器(WIndows Server 2012+IIS8环境)

    首先交代一下服务器的环境配置 系统是WIndows Server2012(配置的时候选的是全能环境),服务器是IIS8 由于装了VS2012,所以系统也自动装上了.Net Framework4.5,M ...