Springboot가 구성 파일에서 일반 텍스트 비밀번호 암호화를 구현하는 방법
- WBOY앞으로
- 2023-05-10 22:25:111413검색
표시 예
이 구성을 살펴보겠습니다.
spring:
# 数据库链接配置
datasource:
url: jdbc:mysql://xx.xx.xx.xx:3306/database
driver-class-name: com.mysql.cj.jdbc.Driver
username: root
password: "123456"위 구성 spring.datasource.password의 해당 값은 123456입니다. 구성 파일에 직접 배치하는 것은 매우 부적절합니다. 우리가 해야 할 일은 다음과 같이 해당 값을 암호화된 암호문으로 변경하는 것입니다. spring.datasource.password对应的值为123456,这么敏感的信息直接放在配置文件中很不合适,我们要做的就是对应的值改成一个加密的密文,如下:
spring:
# 数据库链接配置
datasource:
url: jdbc:mysql://xx.xx.xx.xx:3306/database
driver-class-name: com.mysql.cj.jdbc.Driver
username: root
password: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"这样的话,即使该配置文件被有心之人拿去,也不知道真正的数据库密码是啥,也就无法构成对项目的侵害风险;
原理解析
我们为了实现这个功能,需要了解Spring的相关扩展点以及对应的数据加解密知识,我们先来看看我们应该通过Spring的哪个扩展点进行切入;
我们想要拦截配置数据的话,可以通过实现自定义的BeanFactoryPostProcessor来处理:
public class PropertySourcePostProcessor implements BeanFactoryPostProcessor {
private ConfigurableEnvironment environment;
public PropertySourcePostProcessor(ConfigurableEnvironment environment) {
this.environment = environment;
}
@Override
public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
// 从ConfigurableEnvironment中取出所有的配置数据
MutablePropertySources propertySources = this.environment.getPropertySources();
propertySources.stream()
// 过滤不需要包装的对象
.filter(s -> !noWrapPropertySource(s))
// 包装所有的PropertySource
.map(s -> new EncryPropertySource(s))
.collect(Collectors.toList())
// 替换掉propertySources中的PropertySource
.forEach(wrap -> propertySources.replace(wrap.getName(), wrap));
}
private boolean noWrapPropertySource(PropertySource propertySource) {
return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource", "org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource");
}
}基本原理解析如下:
1.通过ConfigurableEnvironment取出所有的PropertySource并依次遍历;
2.过滤掉不符合我们要求的PropertySource,因为PropertySource有很多子类,并不是所有的PropertySource实例都符合我们包装的要求;
3.对符合要求的PropertySource做一层包装,其实就是静态代理;
4.用包装好的PropertySource替换掉之前的PropertySource实例;
通过上述一系列的操作,我们就可以在PropertySource取值的时候做一些自定义的操作了,比如针对密文密码进行解密;
剩下的另一个问题就是加解密的问题,密码学里面有对称加密和非对称加密,这两种加密方式的区别就是对称加密的加密解密都需要同一个密钥,而非对称加密加密的时候需要公钥,解密的时候需要私钥;
了解了对称加密与非对称加密的区别,如果我们使用的是对称加密,那么一定要避免密文和密钥放在同一个地方;非对称加密一定要避免密文和私钥放在同一个地方;
工具介绍
接下来我们要介绍一款专门针对这个需求的jar工具,它就是jasypt,我们可以去maven仓库找到相关的包:
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.5</version>
</dependency>它的实现原理其实就是我们上面所讲述的,通过自定义BeanFactoryPostProcessor对ConfigurableEnvironment中的PropertySource实例进行拦截包装,在包装类的实现上做一层解密操作,这样就实现了对密文密码的解密;
导入上述依赖后,该工具就已经自动生效了,我们就可以修改对应的配置了,首先我们先针对该工具做一些配置:
jasypt:
encryptor:
# 密钥
password: ""
property:
# 密文前缀
prefix: ""
# 密文后缀
suffix: ""在上述配置中,jasypt.encryptor.password是一定要配置的,这就是加解密的密钥,默认的加密算法是PBEWITHHMACSHA512ANDAES_256;另外jasypt.encryptor.property.prefix和jasypt.encryptor.property.suffix分别是密文前缀和密文后缀,是用来标注需要解密的密文的,如果不配置,默认的密文前缀是ENC(,密文后缀是);默认情况下,我们的密文如下所示:
spring:
datasource:
password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"还有一个需要注意的点就是jasypt.encryptor.password不能与密文放在一起,我们可以在项目当中通过系统属性、命令行参数或环境变量传递;
实现自定义加解密
如果jasypt提供的加解密方式不能满足咱们的项目需求,我们还可以自己实现加解密:
@Bean("jasyptStringEncryptor")
public StringEncryptor jasyptStringEncryptor(){
return new StringEncryptor() {
@Override
public String encrypt(String s) {
// TODO 加密
return null;
}
@Override
public String decrypt(String s) {
// TODO 解密
return null;
}
};
}注意我们的BeanName,默认情况下一定要设置成jasyptStringEncryptor,否则不会生效,如果想要改变这个BeanName,也可以通过修改这个配置参数来自定义StringEncryptor实例所对应的BeanName:
jasypt:
encryptor:
# 自定义StringEncryptor的BeanName
bean: ""如何生成密文
生成密文的这个操作还是要自个儿通过调用StringEncryptor
@Component
public class StringEncryptorUtil{
@Autowired
private StringEncryptor encryptor;
public void encrypt(){
String result = encryptor.encrypt("123456");
System.out.println(result);
}
}이 경우 구성 파일을 누군가가 의도적으로 가져가더라도 실제 데이터베이스 비밀번호는 알 수 없습니다. 원리 분석🎜🎜이 기능을 구현하려면 Spring 및 해당 데이터 암호화 및 복호화 지식 먼저 <code>Spring의 어떤 확장 지점을 잘라야 하는지 살펴보겠습니다. 🎜🎜구성 데이터를 가로채고 싶다면 이를 구현하여 처리할 수 있습니다. custom BeanFactoryPostProcessor: 🎜rrreee🎜 기본 원칙은 다음과 같이 분석됩니다. 🎜🎜1 ConfigurableEnvironment를 통해 모든 PropertySource를 꺼내고 순서대로 탐색합니다. 🎜🎜2. 요구 사항 코드를 충족하지 않는 PropertySource를 필터링합니다. PropertySource에는 많은 하위 클래스가 있지만 모든 PropertySource 인스턴스가 우리의 요구 사항을 충족하는 것은 아니기 때문입니다. 🎜🎜3. 요구사항 /code를 충족하는 PropertySourcePropertySource 인스턴스 🎜🎜위의 일련의 작업을 통해 PropertySource가 값을 가져올 때 암호문 암호 해독과 같은 일부 사용자 정의 작업을 수행할 수 있습니다. 남은 문제는 암호화와 복호화의 문제, 암호화 대칭암호와 비대칭암호의 차이점은 대칭암호는 암호화와 복호화에 동일한 키가 필요한 반면, 비대칭암호는 암호화와 복호화에 동일한 키가 필요하다는 점이다. 🎜🎜대칭 암호화와 비대칭 암호화의 차이점을 이해합니다. 대칭 암호화를 사용하는 경우 암호문과 키를 같은 위치에 배치하지 않아야 합니다. 암호문과 개인 키를 같은 위치에 두지 마세요. 🎜🎜도구 소개🎜🎜다음으로 이러한 요구에 맞게 특별히 jar 도구를 소개하겠습니다. code>jasypt, maven Warehouse로 가서 관련 패키지를 찾을 수 있습니다: 🎜rrreee🎜 구현 원리는 실제로 BeanFactoryPostProcessor를 사용자 정의하여 위에서 설명한 것과 같습니다. ConfigurableEnvironment PropertySource 인스턴스를 가로채서 패키징하고 패키징 클래스 구현에서 암호 해독 작업 계층을 수행하여 암호문 암호의 암호 해독을 실현합니다. 🎜위 종속성을 가져온 후 도구가 자동으로 적용됩니다. 먼저 해당 구성을 수정할 수 있습니다. 🎜rrreee🎜위 구성에서 jasypt.encryptor.password 암호화 및 복호화 키를 구성해야 하며, 기본 암호화 알고리즘은 PBEWITHHMACSHA512ANDAES_256이며, 추가로 jasypt.encryptor.property.prefix 및 jasypt입니다. encryptor.property.suffix는 각각 암호문 접두어와 암호문 접미어를 사용하여 해독해야 하는 암호문을 표시합니다. 구성되지 않은 경우 기본 암호문 접두사는 ENC(, 암호문 접미사는 )입니다. 기본적으로 암호문은 다음과 같습니다: 🎜rrreee🎜 주목해야 할 또 다른 점은 jasypt.encryptor.password를 함께 배치할 수 없다는 것입니다. 시스템 속성, 명령줄 매개변수 또는 환경 변수를 통해 전달할 수 있습니다. 🎜사용자 지정 암호화 및 암호 해독 구현
🎜jasypt에서 제공하는 암호화 및 암호 해독 방법을 충족할 수 없는 경우 프로젝트에 필요한 경우 직접 암호화 및 암호 해독을 구현할 수도 있습니다. 🎜rrreee🎜 BeanName에 주의하세요. 기본적으로 jasyptStringEncryptor로 설정되어야 합니다. 그렇지 않으면 그렇지 않습니다. 이 BeanName 을 변경하려면 다음 구성 매개변수를 수정하여 StringEncryptor 인스턴스에 해당하는 BeanName을 사용자 정의할 수도 있습니다. rrreee암호문 생성 방법
🎜Generation 이 암호문 작업은 여전히 StringEncryptor 인스턴스를 호출하여 암호화하고 생성해야 합니다. 다음 코드를 참조할 수 있습니다. 🎜rrreee🎜After. 모두, 암호화가 필요한 작업은 프로젝트 라이프사이클에서 한 번만 수행하면 되므로 우리는 단지 도구 클래스를 작성하고 호출하기만 하면 됩니다. 🎜위 내용은 Springboot가 구성 파일에서 일반 텍스트 비밀번호 암호화를 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!