SpringBoot MySQL密碼等敏感信息加密方案(2021.04.27) 一、背景說明 SpringBoot 項目經常將連接資料庫的密碼明文放在配置文件里,安全性就比較低,尤其一些企業對安全性要求很高,因此我們就考慮如何對密碼等敏感信息進行加密。 二、解決方案 通過 Jasypt 對密碼等敏感 ...
SpringBoot MySQL密碼等敏感信息加密方案(2021.04.27)
目錄一、背景說明
SpringBoot 項目經常將連接資料庫的密碼明文放在配置文件里,安全性就比較低,尤其一些企業對安全性要求很高,因此我們就考慮如何對密碼等敏感信息進行加密。
二、解決方案
通過 Jasypt 對密碼等敏感信息進行加密。Jasypt 是一個簡單易用的加解密 Java 庫,可以快速的集成到 Spring 和 SpringBoot 項目中,並提供了自動配置,使用非常簡單。
三、使用方法
下麵以 SpringBoot、MySQL、Mybatis 來演示 Jasypt 庫的集成。
1. 引入 Maven 依賴
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.3</version>
</dependency>
2. 在配置文件添加 Jasypt 的相關配置;
jasypt:
encryptor:
# 加密的鹽值,為了安全,該配置可以放在啟動參數或者命令行參數中
password: fa7bd4edd42448aea8c9484fbce6e8cd
# 加密所採用的演算法
algorithm: PBEWITHHMACSHA512ANDAES_256
3. 生成加密後的密鑰
方案一:採用單元測試生成加密後的密鑰;
package com.xiaoqqya.controller;
import org.jasypt.encryption.StringEncryptor;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;
import javax.annotation.Resource;
import java.util.UUID;
/**
* Description.
*
* @author <a href="mailto:[email protected]">xiaoQQya</a>
* @version 1.0
* @date 2021/04/20
* @since 1.8
*/
@SpringBootTest(classes = com.xiaoqqya.JasyptDemoApplication.class)
public class Demo {
@Resource
StringEncryptor encryptor;
@Test
public void encrypt() {
String url = encryptor.encrypt("jdbc:mysql://ubuntu:3306/jasypt?useUnicode=true&characterEncoding=utf8&serverTimezone=UTC");
String username = encryptor.encrypt("root");
String pwd = encryptor.encrypt("password");
System.out.println("url = " + url);
System.out.println("username = " + username);
System.out.println("pwd = " + pwd);
}
}
方案二:採用命令行生成加密後的密鑰;
# 在 Maven 倉庫中找到 jasypt-1.9.3.jar 包
$ cd C:\Users\Joey\.m2\repository\org\jasypt\jasypt\1.9.3
# input 為明文密碼,password 為加密鹽值,algorithm為演算法
$ java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password="fa7bd4edd42448aea8c9484fbce6e8cd"
4. 替換資料庫密碼
ENC() 為固定格式,() 裡面為加密後的密鑰。
spring:
datasource:
url: ENC(RSSEciOYx39dlPxCWeP46RZG1wkgtuPMgaZu2XgnrPluvHcAIzIEW79K1j9WIWLVHPbBpb6t1ehiiTiQGnzR1CFvrFm16bE0koyh/8exbh1ulYkfaSdBOivNHIF6CSxPy54vmxn3LaXug6ZYxfNBymQINbRa2fsXxlHT+TgvKqs=)
username: ENC(YkJGWv80AEpPREn3Rt2Ic6BzzO+v+3m5Uy/r33pz4ZbZbD3vhi7vJz9nwGHKg8+n)
password: ENC(4lEHAy//ExXjJxN9WQgyqgAjSkzIJ3irTYTYG8so6HgZWxPRl6Pa8tCUK/qmXSYb)
driver-class-name: com.mysql.cj.jdbc.Driver
5. 啟動測試
# 將鹽值放在啟動參數中
$ java -jar target/jasypt-demo-0.0.1-SNAPSHOT.jar --jasypt.encryptor.password=fa7bd4edd42448aea8c9484fbce6e8cd
# 將鹽值放在命令行參數中
$ java -Djasypt.encryptor.password=fa7bd4edd42448aea8c9484fbce6e8cd -jar target/jasypt-demo-0.0.1-SNAPSHOT.jar
# 也可以將鹽值放在系統環境變數中,此處不再展示
