Springboot如何實現對設定檔中的明文密碼加密-java教程-PHP中文網

首頁

Java

java教程

Springboot如何實現對設定檔中的明文密碼加密

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

May 10, 2023 pm 10:25 PM

springboot

範例展示

我們來看看這個設定：

spring:
  # 数据库链接配置
  datasource:
    url: jdbc:mysql://xx.xx.xx.xx:3306/database
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: "123456"

我們上述的設定spring.datasource.password對應的值為123456，這麼敏感的資訊直接放在設定檔中很不合適，我們要做的就是對應的值改成一個加密的密文，如下：

spring:
  # 数据库链接配置
  datasource:
    url: jdbc:mysql://xx.xx.xx.xx:3306/database
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"

這樣的話，即使該設定檔被有心之人拿去，也不知道真正的資料庫密碼是啥，也就無法構成對專案的侵害風險；

原理解析

我們為了實現這個功能，需要了解 Spring的相關擴展點以及對應的資料加解密知識，我們先來看看我們應該透過Spring的哪個擴展點進行切入；

我們想要攔截配置資料的話，可以透過實作自訂的BeanFactoryPostProcessor來處理：

public class PropertySourcePostProcessor implements BeanFactoryPostProcessor {

  private ConfigurableEnvironment environment;

  public PropertySourcePostProcessor(ConfigurableEnvironment environment) {
    this.environment = environment;
  }

  @Override
  public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
    // 从ConfigurableEnvironment中取出所有的配置数据
    MutablePropertySources propertySources = this.environment.getPropertySources();
    propertySources.stream()
        // 过滤不需要包装的对象
        .filter(s -> !noWrapPropertySource(s))
        // 包装所有的PropertySource
        .map(s -> new EncryPropertySource(s))
        .collect(Collectors.toList())
        // 替换掉propertySources中的PropertySource
        .forEach(wrap -> propertySources.replace(wrap.getName(), wrap));
  }

  private boolean noWrapPropertySource(PropertySource propertySource) {
    return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource", "org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource");
  }
}

基本原理解析如下：

1.透過ConfigurableEnvironment取出所有的PropertySource並依序遍歷；

2.過濾掉不符合我們要求的PropertySource，因為PropertySource有很多子類，並不是所有的PropertySource實例都符合我們包裝的要求；

3.對符合要求的PropertySource做一層包裝，其實就是靜態代理;

4.用包裝好的PropertySource替換掉之前的PropertySource實例；

透過上述一系列的操作，我們就可以在PropertySource取值的時候做一些自訂的操作了，例如針對密文密碼進行解密；

剩下的另一個問題就是加解密的問題，密碼學裡面有對稱加密和非對稱加密，這兩種加密方式的差異就是對稱加密的加密解密都需要同一個金鑰，而非對稱加密加密的時候需要公鑰，解密的時候需要私鑰；

了解了對稱加密與非對稱加密的區別，如果我們使用的是對稱加密，那麼一定要避免密文和金鑰放在同一個地方；非對稱加密一定要避免密文和私鑰放在同一個地方；

工具介紹

接下來我們要介紹一款專門針對這個需求的jar工具，它就是jasypt，我們可以去maven倉庫找到相關的套件：

     <dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>

它的實作原理其實就是我們上面所講述的，透過自訂BeanFactoryPostProcessor對ConfigurableEnvironment中的PropertySource實例進行攔截包裝，在包裝類別的實作上做一層解密操作，這樣就實作了對密文密碼的解密；

導入上述依賴後，該工具就已經自動生效了，我們就可以修改對應的配置了，首先我們先針對該工具做一些配置：

jasypt:
  encryptor:
    # 密钥
    password: ""
    property:
      # 密文前缀
      prefix: ""
      # 密文后缀
      suffix: ""

在上述配置中，jasypt.encryptor.password是一定要配置的，這就是加解密的金鑰，預設的加密演算法是PBEWITHHMACSHA512ANDAES_256；另外jasypt.encryptor.property.prefix和jasypt.encryptor.property.suffixjasypt. #分別是密文前綴和密文後綴，是用來標註需要解密的密文的，如果不配置，預設的密文前綴是ENC(，密文後綴是)

；預設情況下，我們的密文如下所示：

spring:
  datasource:
    password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"

還有一個需要注意的點就是jasypt.encryptor.password

不能與密文放在一起，我們可以在專案當中透過系統屬性、命令列參數或環境變數傳遞；

實作自訂加解密

#如果jasypt

提供的加解密方式不能滿足咱們的專案需求，我們也可以自己實作加解密：

@Bean("jasyptStringEncryptor")
  public StringEncryptor jasyptStringEncryptor(){
    return new StringEncryptor() {
      @Override
      public String encrypt(String s) {
        // TODO 加密
        return null;
      }

      @Override
      public String decrypt(String s) {
        // TODO 解密
        return null;
      }
    };
  }

注意我們的BeanName，預設情況下一定要設定成jasyptStringEncryptor，否則不會生效，如果想要改變這個BeanName，也可以透過修改這個設定參數來自訂StringEncryptor實例所對應的BeanName

：

jasypt:
  encryptor:
    # 自定义StringEncryptor的BeanName
    bean: ""

如何產生密文

生成密文的這個操作還是要自個兒透過呼叫StringEncryptor

實例來加密生成，可以參考以下程式碼：

@Component
public class StringEncryptorUtil{
  @Autowired
  private StringEncryptor encryptor;
  
  public void encrypt(){
    String result = encryptor.encrypt("123456");
    System.out.println(result);
  }
}

畢竟需要加密的操作只需要在專案生命週期中執行一次，所以我們只需要簡單地寫一個工具類別來呼叫即可。 ###

以上是Springboot如何實現對設定檔中的明文密碼加密的詳細內容。更多資訊請關注PHP中文網其他相關文章！

陳述

本文轉載於：亿速云。如有侵權，請聯絡admin@php.cn刪除

JVM如何促進Java的'寫作一次，在任何地方運行”（WORA）功能？May 02, 2025 am 12:25 AM

JVM通過字節碼解釋、平台無關的API和動態類加載實現Java的WORA特性：1.字節碼被解釋為機器碼，確保跨平台運行；2.標準API抽像操作系統差異；3.類在運行時動態加載，保證一致性。

Java的較新版本如何解決平台特定問題？May 02, 2025 am 12:18 AM

Java的最新版本通過JVM優化、標準庫改進和第三方庫支持有效解決平台特定問題。 1）JVM優化，如Java11的ZGC提升了垃圾回收性能。 2）標準庫改進，如Java9的模塊系統減少平台相關問題。 3）第三方庫提供平台優化版本，如OpenCV。

說明JVM執行的字節碼驗證的過程。May 02, 2025 am 12:18 AM

JVM的字節碼驗證過程包括四個關鍵步驟：1)檢查類文件格式是否符合規範，2)驗證字節碼指令的有效性和正確性，3)進行數據流分析確保類型安全，4)平衡驗證的徹底性與性能。通過這些步驟，JVM確保只有安全、正確的字節碼被執行，從而保護程序的完整性和安全性。

平台獨立性如何簡化Java應用程序的部署？May 02, 2025 am 12:15 AM

Java'splatFormIndepentEncealLowsApplicationStorunonAnyOperatingsystemwithajvm.1）singleCodeBase：writeandeandcompileonceforallplatforms.2）easileupdates：updatebybytecodeforsimultanane deployment.3）testOnOneOnePlatForforurouniverSalpeforuluniverSalpehavior formafforulululyiversalivernave.444.44.444

Java的平台獨立性如何隨著時間的流逝而發展？May 02, 2025 am 12:12 AM

Java的平台獨立性通過JVM、JIT編譯、標準化、泛型、lambda表達式和ProjectPanama等技術不斷增強。自1990年代以來，Java從基本的JVM演進到高性能的現代JVM，確保了代碼在不同平台的一致性和高效性。

在Java應用程序中緩解平台特定問題的策略是什麼？May 01, 2025 am 12:20 AM

Java如何緩解平台特定的問題？ Java通過JVM和標準庫來實現平台無關性。 1）使用字節碼和JVM抽像操作系統差異；2）標準庫提供跨平台API，如Paths類處理文件路徑，Charset類處理字符編碼；3）實際項目中使用配置文件和多平台測試來優化和調試。

Java的平台獨立性與微服務體系結構之間有什麼關係？May 01, 2025 am 12:16 AM

java'splatformentenceenhancesenhancesmicroservicesharchitecture byferingDeploymentFlexible，一致性，可伸縮性和便攜性。 1）DeploymentFlexibilityAllowsibilityAllowsOllowsOllowSorlowsOllowsOllowsOllowSeStorunonAnyPlatformwithajvM.2）penterencyCrossServAccAcrossServAcrossServiCessImplifififiesDeevelopmentandeDe