0、问题背景
用 Spring Boot 框架的小伙伴应该都知道,Spring Boot 有个主要的 applicaiton 配置文件,那就会涉及到敏感配置信息,比如各种中间件的连接用户名密码信息、以及各种第三方的 KEY、密钥等。
这种敏感信息如果直接放在配置文件中肯定是不安全的,甚至在很多行业及领域(比如:支付领域)都是不合规的,所以需要保护 Spring Boot 中的敏感配置信息。
所以,你还在让你的 Spring Boot 系统裸奔吗?如果是,那不妨看看本文中栈长分享的 4 种方法,让你的系统不再裸奔!
1、配置中心(支持自动解密)
我觉得还得看大家的架构情况,如果使用了外置的第三方配置中心(支持自动解密的那种),就可以把所有的配置信息存储在配置中心,比如 Spring Cloud 生态中的配置中心,那么可以使用自带的加、解密机制保护敏感信息:
spring: datasource: username: '{cipher}t1s293294187a31f35dea15e8bafaf7774532xxcc20d6d6dd0dfa5ae753d6836'
需要加密的内容以 {cipher} 开头标识,并注意要使用单引号包起来,具体的细节可以参考《Spring Cloud 配置中心内容加密》这篇文章,Spring Boot 配置文件就只存储一些无关紧要的配置。
大家用的哪款配置中心呢?支付配置加解密吗?欢迎分享!
如果没有用到配置中心呢?
比如说传统的 Spring Boot 的 MVC 项目,所有的代码、配置都几乎在同一个项目中,Spring Boot 中的核心配置文件就是 application.yml(.properties)文件,那要怎么保护敏感配置信息呢?继续往下看!
2、数据库机制
可以把所有配置信息存储到数据库,系统启动的时候全部加载进内存。存储的时候,敏感信息以对称加密算法进行加密存储,然后加载的时候自动解密到内存。
这是最传统的配置管理方法,其实你也可以理解为一个原始的、简易的配置中心,只是功能不那么强大而已,因为现在很多配置中心就是把配置放在数据库中进行存储,然后提供一系列的配置管理功能。
这里的数据库可以是关系数据库(MySQL、Oracle)、内存数据库(Redis、Zookeeper)等,这是普遍用的比较多的中间件技术。
3、自定义加解密机制
这时候也要看使用的程度,如果只是简单的数据库连接池信息,那么可以考虑使用现有系统中的对称加密算法,再结合连接池数据源类实现自定义加解密机制,比如我们可以模仿 Spring Cloud 加密机制:
先用系统已有的对称加密算法对数据库连接信息加密:
spring: datasource: username: '{cipher}t1s293294187a31f35dea15e8bafaf7774532xxcc20d6d6dd0dfa5ae753d6836'
排除 Spring Boot 系统自带的数据源自动配置,然后自行组装数据源 Spring Bean。
判断获取的配置值是否以 {cipher} 这个标识开头,如果是,则用系统约定的对称加密算法进行解密,然后再设置数据源,比如:
// 示例代码 @Bean public DataSource dataSource(){ DataSource dataSource = new DruidDataSource(); // 解密 String username = this.getUsername(); if (username.startWith('{cipher}')){ username = Encrypt.decrypt(username, this.getKey())) } dataSource.setUsername(username); ... return dataSource; }
Spring Boot 基础就不介绍了,推荐下这个实战教程,教程和示例源码都已经传了:https://github.com/javastacks/spring-boot-best-practice
这种使用简单,不用额外引入任何第三方包,如果大家也是使用的自定义数据源,或者这种手动加解密机制可以满足保护其他敏感配置的需求,那么这种方案供大家参考。
上面介绍的自定义的加解密机制可以满足一般的需求,如果是 Spring Boot 自动配置的场景,比如数据源自动配置,Redis 自动配置,等等,这种在系统启动的时候就会默认自动配置,我们人工解密干预不到。
像这种情况,我们就需要考虑介入框架层了,在 Spring Boot 框架读取配置的时候进行拦截解密,或者使用第三方的框架,用的比较多是:Jasypt Spring Boot。
4、Jasypt Spring Boot
Jasypt Spring Boot 是一个专门为 Spring Boot 项目中的属性提供加密支持的框架,支持的版本为 Spring Boot 1.x ~ 2.x,栈长写文之时,现在已经有 1.8K+ 的 Star 数了,还是挺受欢迎的。
开源地址:
https://github.com/ulisesbocchio/jasypt-spring-boot
这个开源项目更新也挺及时的,最新更新的,已支持 Spring Boot 2.5.4!
这里栈长再免费分享你一份 Spring Boot 学习笔记,理论和实战都非常齐全,助你快速搞定 Spring Boot。
4.1 Jasypt Spring Boot 实战
Jasypt Spring Boot 有 3 种集成方法:
1、如果开启了 Spring Boot 的自动配置(使用了 @SpringBootApplication 或者 @EnableAutoConfiguration 注解):只需要添加 jasypt-spring-boot-starter 依赖即可,这种会在整个 Spring Environment 中启用可加密属性;
2、添加 jasypt-spring-boot 依赖,同时在 Spring 主要配置类上添加 @EnableEncryptableProperties 注解,这种会在整个 Spring Environment 中启用可加密属性;
3、添加 jasypt-spring-boot 依赖,使用 @EncrytablePropertySource 注解声明各个可加密的参数上,这种只适用于独立配置参数加解密;
一般的 Spring Boot 都会开启自动配置,然后再排除个别的自动配置,所以很少会有全部禁用自动配置的情况,不然使用 Spring Boot 的意义不大,这里我们使用第 1 种集成方式进行演示。
4.1.1 引入依赖
核心依赖:
<dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.4</version> </dependency>
Maven 插件(可选)
<build> <plugins> <plugin> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-maven-plugin</artifactId> <version>${jasypt-spring-boot.version}</version> </plugin> </plugins> </build>
4.1.2 添加密钥
jasypt: encryptor: password: G9w0BAQEFAASCBKYwggSiAgEAAoIBAQC property: prefix: "ENC@[" suffix: "]"
这个 jasypt.encryptor.password 参数是必须的,相当于 Salt(盐),以保证密码安全性,prefix 和 prefix 是自定义的密码串标识,不配置默认为:ENC(...)。
4.1.3 敏感信息加密
/** * 来源微信公众号:Java技术栈 * 作者:栈长 */ @Slf4j @RunWith(SpringRunner.class) @SpringBootTest public class JasyptTest { @Autowired private StringEncryptor stringEncryptor; /** * 来源微信公众号:Java技术栈 * 作者:栈长 */ @Test public void encrypt() { String usernameEnc = stringEncryptor.encrypt("javastack"); String passwordEnc = stringEncryptor.encrypt("javastack.cn"); log.info("test username encrypt is {}", usernameEnc); log.info("test password encrypt is {}", passwordEnc); log.info("test username is {}", stringEncryptor.decrypt(usernameEnc)); log.info("test password is {}", stringEncryptor.decrypt(passwordEnc)); } }
这里我注入了一个 StringEncryptor,其类结构图如下:
如果当前没有自定义 StringEncryptor,Jasypt Spring Boot 的自动配置会默认创建一个 StringEncryptor 实例,直接用就行了,其构造器默认值如下:
然后运行测试用例来看下测试结果:
加解密成功!!
