大家好,我是車轍,我的掘金小冊《SkyWalking:應用監控和鏈路跟蹤》已經上線啦,這是我的第一本電子書,歡迎大家訂閱。 整整好是9月的最後一天下午,能按耐住衝動的是少之又少,至於原因嘛你懂的。趕高鐵的準備趕高鐵,沒趕高鐵的也假裝趕高鐵。特別是開發同學,腦門上就差貼張紙條:別打擾我。 現在離跑路時 ...
大家好,我是車轍,我的掘金小冊《SkyWalking:應用監控和鏈路跟蹤》已經上線啦,這是我的第一本電子書,歡迎大家訂閱。
整整好是9月的最後一天下午,能按耐住衝動的是少之又少,至於原因嘛你懂的。趕高鐵的準備趕高鐵,沒趕高鐵的也假裝趕高鐵。特別是開發同學,腦門上就差貼張紙條:別打擾我。
現在離跑路時間還有1小時,這個時間點被我司同事親切的稱呼為“交流時間”,俗稱開會。這時候,釘釘的 ding 消息彈框而出,“有些項目組的資料庫密碼是明文,被系統檢測出來了,國慶前必須修改完成”。
尼瑪,還國慶前,直接說今天不就行了,憤怒值 + 1。“系統也真會趕時間,有些領導下班前開會,你倒好,下班前來個安全檢查”,憤怒值直接 + 10086。
沒辦法,改唄。其實心裡知道還是自己的問題,就是想當然了,沒有做到最好,就和寶蓮燈里二郎神教訓沉香似的,凡事不能差一點。這要是明文密碼泄漏造成嚴重事故,年終獎泡湯還算是好的,說不定直接喜提 N+1
資料庫明文加密
為了能按時“趕高鐵”,憑藉著早些年玩QQ炫舞的手速,還是被我找到瞭解決方案。因為系統使用 Druid作為資料庫管理,可以利用 Druid自帶的加密工具進行加密。
首先通過它的ConfigTools對你的明文進行操作,生成公鑰、私鑰以及加密後的密碼。
// 需要加密的明文密碼
String password = "youPassword";
// 調用 druid 工具類 生成私鑰、公鑰、密文
ConfigTools.main(new String[]{password});
結果也和我們預期的一致,
- privateKey:私鑰,用於密碼的加密;
- publicKey:公鑰,用於密碼的解密;
- password:加密之後的密碼
感覺有戲啊,把剛剛生成的密文填寫到配置文件中,也就是替換之前的明文。
搞定,啟動項目,果不其然的系統報錯,納尼,是我操作的姿勢不對?
看了報錯結合分析,才發現是我公鑰沒有貼上去。之前也提到過,公鑰主要用來進行密碼的解密,你沒進行配置,系統就誤認為密碼就是這樣子,當然連接不上資料庫。瞧我這腦子,也就只能裝錢了。
添加配置後如下所示,:
重新啟動,大工搞成。正準備發到測試環境,讓測試大哥幫忙回歸下,身邊的同事來了句:”其他類型的秘鑰怎麼辦“?
完了,項目里還有浙政釘的秘鑰,微信的秘鑰,理論上這些秘鑰也是屬於密碼,那麼這些配置該怎麼加密呢,也沒有原生的SDK 提供加密呀?於是,偷摸的問了其他組的同事並許以金鏟鏟讓雞的重利下,才知道他們用了名為Jasypt的組件,之前壓根就沒聽過。好在我技高一籌,靠著瘋狂百度,終於解決了這個坑爹的問題。往下看!
Jasypt
Jasypt 可以和 SpringBoot 整合,只需要簡單的配置,就能夠在項目啟動時,把密文解密成明文。做到對用戶加密不可見,對系統明文可見。
這裡得補充一句,現在不能和 SpringBoot 整合的組件,想推廣都好難。
添加依賴
首先是添加 Jasypt 的SpringBoot依賴
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.2</version>
</dependency>
明文加密
jasypt的加密步驟依賴於某個Key,叫做鹽值。通過它和某些演算法對明文密碼進行加密,可以得到密文。
有沒有工具類可以嘗嘗鮮呀?我這邊按照官網文檔寫了個工具類,在工具類中添加鹽值,然後設置明文密碼後調用,可以得到下圖所示的密文。
有需要源碼的可以在這個地址下免費獲取,所有源碼我都會整合在這個項目下麵,鏈接
這個ENC(是Jasypt解密時的標識,至於被圈起來的就是我們的密文了,jasypt會在啟動時
根據該標識對數據進行解密,最後存放到記憶體中。
按照這種方式,我們就可以把所有被Spring管理的明文密碼全部替換成密文,然後啟動時進行解密。那麼系統怎麼知道鹽值是什麼呢?
添加鹽值
我們之前只是手動在工具類設置了鹽值,如何在系統中設置呢?最簡單的方式就是在SpringBoot 配置文件中添加。
jasypt:
encryptor:
password: chezhe
如果覺得沒問題的同學,建議您和沉香一樣回爐重造下。這種方式不就和我們之前犯得錯誤一樣嘛,丟了西瓜撿了芝麻。就如同不經調研,貿然引入技術,最後反而需要對這項技術付出極大的成本。所以有句話我一直奉為經典:用的越多,錯的越多。
還記的SpringBoot的啟動方式嗎,我們可以把鹽值配置在啟動腳本中。
java -jar -Djasypt.encryptor.password=chezhe chezhe.jar
應該都看的懂這什麼意思吧。看不懂的同學評論區評論,讓各位大佬們幫忙回答下,總不能被白嫖~
支持哪些加密演算法
在這個版本中預設的是PBEWITHHMACSHA512ANDAES_256,當然它還支持PBEWithMD5AndDES或者 SM4等加密演算法,有興趣的同學可以去官網看看。官網地址
總結
雖然最後“趕高鐵”以失敗告終,卻學到了不少技能,喜提N+1 失敗,也算是值了。通過Jasypt對明文密碼加密,項目啟動時解密,最後把鹽值存放到生產環境伺服器中,大大降低了密碼被盜的概率。不過如果伺服器被攻破了,那就當我沒說......
對於代碼中的密碼安全問題,大家還是要嚴謹,不要等到發現了才改。第一是麻煩,因為要回歸測試,最好在第一次上線時就改掉。第二是在領導眼裡印象也不好,可能還會影響績效。
最後希望大家多多點贊、收藏。就和買紙質書或者收藏電子書一樣,點贊、收藏了,也就代表學會了,不要問我怎麼瞭解的這麼清楚。
我是車轍,掘金小冊《SkyWalking》作者,一名常被HR調侃為XX楊洋的互聯網打工人,。
有需要源碼的同學可以關註公眾號《車轍的編程學習圈》免費領取,之後的所有源碼我都會整合在這個項目下麵。也可以在此地址下,點擊領取下獲取。
本文由博客一文多發平臺 OpenWrite 發佈!
