jasypt与Spring结合使用解决配置文件中数据库密码加密问题

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: jasypt与Spring结合使用解决配置文件中数据库密码加密问题

引言


最近公司给银行做了一个项目,在进行本地化部署的时候,银行的科技部门对我们的源码进行了安全扫描,在检测报告中有这么一个问题,要求我们的数据库密码不能以明文的 形式出现在配置文件中,所以小编需要解决这个问题,但是第一个想法就是,自己重写一个配置文件加载的那个方法,这样我们就可以在拿到密文以后,首先解密然后在使用。


但是查询了一些资料以后发现,这个问题已经有成熟的解决方案了,就是利用jasypt与spring结合轻松解决这个问题。


1、首先在项目中pom.xml文件中加入jasypt相关依赖包

<dependency>
    <groupId>org.jasypt</groupId>
    <artifactId>jasypt</artifactId>
<version>1.9.2</version>


2、在spring的xml文件中增加配置


<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:aop="http://www.springframework.org/schema/aop"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans-4.3.xsd
       http://www.springframework.org/schema/context
       http://www.springframework.org/schema/context/spring-context-4.3.xsd http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd">
    <!--基于环境变量,配置加密机-->
    <bean id="environmentVariablesConfiguration"
          class="org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig">
        <property name="algorithm" value="PBEWithMD5AndDES"/>
        <property name="password" value="xxxxx"/>
    </bean>
    <!--配置加密器,将用于解密-->
    <bean id="configurationEncryptor" class="org.jasypt.encryption.pbe.StandardPBEStringEncryptor">
        <property name="config" ref="environmentVariablesConfiguration"/>
    </bean>
    <!-- 配置文件 -->
    <bean id="placeholderConfig"
          class="org.jasypt.spring31.properties.EncryptablePropertyPlaceholderConfigurer">
        <constructor-arg ref="configurationEncryptor"/>
        <property name="locations">
            <list>
                <value>classpath*:properties/*.properties</value>
            </list>
        </property>
    </bean>
    <context:annotation-config/>
    <aop:aspectj-autoproxy/>
    <context:component-scan base-package="com.jack.common.junit"/>
    <context:component-scan base-package="com.jack.common.db"/>
    <context:component-scan base-package="com.jack.common.redis"/>
    <context:component-scan base-package="com.jack.common.task"/>
    <context:component-scan base-package="com.jack.common.jcs"/>
    <context:component-scan base-package="com.jack.common.utils"/>
    <context:component-scan base-package="com.jack.xx.*.service"/>
</beans>

在上面的xml文件中需要我们注意的是,增加了两个节点  配置加密机和解密机, 修个另一节点,就是我们加载.properties文件的节点,不再使用spring的加载器了,而是采用了org.jasypt.spring31.properties.EncryptablePropertyPlaceholderConfigurer这个加载器。


其中配置加密节点中的两个属性  algorithm 指定了我们在加密的时候采用的加密算法 passwor  指定了我们在加密的时候的秘钥。


3、配置propertis文件


db.bid.url.W=jdbc:mysql://127.0.0.1:3301/xxxx?useUnicode=true&allowMultiQueries=true&characterEncoding=utf-8&useSSL=false
db.bid.username.R1=root
db.bid.password.R1=ENC(82BfssmmyW8c7RjX/p/mev1h6Tlja/0V)


这样我们在配置 文件中就可以采用密文的方式进行配置,这里值得注意的是 ENC(密文)这是jasypt规定的写法。下面会介绍怎么生成密文。


4、生成密文


通过 在pom文件中配置jasypt的jar包引用,我们已经将该jar包下载到我们本地了,我们将该jar包复制到其他的一个路径下面。 通过cmd命令行,进入到这个路径然后执行下面 命令获得密文。


加密:

java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="xxxxxx" password=MINSHENGBANK algorithm=PBEWithMD5AndDES

解密:

解密:
java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="2D3Bdy/ezCDJY+P6gl9uGEyAeAT3ytpR" password=ZHONGYUANBANK algorithm=PBEWithMD5AndDES


nput:你需要加密的明文字符串

  password:加密秘钥  要和上面的配置一致

  algorithm:加密算法  要和上面的配置一致


加密算法(PBEWITHHMACSHA1ANDAES_128, PBEWITHHMACSHA1ANDAES_256, PBEWITHHMACSHA224ANDAES_128, PBEWITHHMACSHA224ANDAES_256, PBEWITHHMACSHA256ANDAES_128, PBEWITHHMACSHA256ANDAES_256, PBEWITHHMACSHA384ANDAES_128, PBEWITHHMACSHA384ANDAES_256, PBEWITHHMACSHA512ANDAES_128, PBEWITHHMACSHA512ANDAES_256, PBEWITHMD5ANDDES, PBEWITHMD5ANDTRIPLEDES, PBEWITHSHA1ANDDESEDE, PBEWITHSHA1ANDRC2_128, PBEWITHSHA1ANDRC2_40, PBEWITHSHA1ANDRC4_128, PBEWITHSHA1ANDRC4_40)选一种自己喜欢的吧,我这里选了PBEWithMD5AndDES

20190814111055238.png


理论上看到这里 就可以实现我么的需求了,但是关于秘钥的配置我们还是需要强调一下他的安全性。下面介绍一下口令的三种配置方式。


1.配置本地环境变量的方式 这种方式比较安全

<!-- 基于环境变量,配置加密机 -->
<bean id="environmentVariablesConfiguration"
    class="org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig">
    <property name="algorithm" value="PBEWithMD5AndDES" />
    <property name="passwordEnvName" value="APP_ENCRYPTION_PASSWORD" />
</bean>

passwordEnvName的值直接设置为环境变量,比如value="APP_ENCRYPTION_PASSWORD", APP_ENCRYPTION_PASSWORD则是系统环境变量,具体使用步骤如:配置环境变量APP_ENCRYPTION_PASSWORD--> 启动应用程序 --> 应用程序启动完成  --> 删除环境变量APP_ENCRYPTION_PASSWORD(window和Linux配置不一样,建议搜索一下怎么配,比较简单,这里就不多说了)

20190814112011431.png

2.直接配置方式


<!-- 基于环境变量,配置加密机 -->
<bean id="environmentVariablesConfiguration"
    class="org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig">
    <property name="algorithm" value="PBEWithMD5AndDES" />
    <property name="password" value="haha" />
</bean>

3.properties文件方式

<!-- 基于环境变量,配置加密机 -->
<bean id="environmentVariablesConfiguration"
    class="org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig">
    <property name="algorithm" value="PBEWithMD5AndDES" />
    <property name="passwordSysPropertyName" value="${kouling.haha}" />
</bean>


大家根据自己的需求选择一种方式进行配置即可。如果各位读者采用的是springboot的框架,那么配置就更加简单了。

目录
打赏
0
0
0
1
39
分享
相关文章
如何在Spring Boot中实现数据加密
本文介绍了如何在Spring Boot中实现数据加密。首先阐述了数据加密的重要性与应用场景,接着讲解了对称加密和非对称加密的原理及区别。通过添加依赖、配置加密算法、编写加密工具类等步骤,展示了具体实现方法,并在业务代码中应用加密技术保护敏感数据。希望对开发者有所帮助。
|
1月前
|
java语言后台管理ruoyi后台管理框架-登录提示“无效的会话,或者会话已过期,请重新登录。”-扩展知识数据库中密码加密的方法-问题如何解决-以及如何重置若依后台管理框架admin密码-优雅草卓伊凡
java语言后台管理ruoyi后台管理框架-登录提示“无效的会话,或者会话已过期,请重新登录。”-扩展知识数据库中密码加密的方法-问题如何解决-以及如何重置若依后台管理框架admin密码-优雅草卓伊凡
199 3
java语言后台管理ruoyi后台管理框架-登录提示“无效的会话,或者会话已过期,请重新登录。”-扩展知识数据库中密码加密的方法-问题如何解决-以及如何重置若依后台管理框架admin密码-优雅草卓伊凡
使用 Spring Boot 执行数据库操作:全面指南
使用 Spring Boot 执行数据库操作:全面指南
487 1
GBase 数据库 加密客户端---数据库用户口令非明文存放需求的实现
GBase 数据库 加密客户端---数据库用户口令非明文存放需求的实现
密码专辑:对密码加盐加密,对密码进行md5加密,封装成密码工具类
这篇文章介绍了如何在Java中通过加盐和加密算法(如MD5和SHA)安全地存储密码,并提供了一个密码工具类PasswordUtils和密码编码类PasswordEncoder的实现示例。
184 10
密码专辑:对密码加盐加密,对密码进行md5加密,封装成密码工具类
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
这篇文章介绍了如何使用Spring Boot整合Apache Shiro框架进行后端开发,包括认证和授权流程,并使用Redis存储Token以及MD5加密用户密码。
96 0
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
|
5月前
|
Springboot+spring-boot-starter-data-jdbc实现数据库的操作
本文介绍了如何使用Spring Boot的spring-boot-starter-data-jdbc依赖来操作数据库,包括添加依赖、配置数据库信息和编写基于JdbcTemplate的数据访问代码。
683 2
Spring 微服务提示:使用环境变量抽象数据库主机名
Spring 微服务提示:使用环境变量抽象数据库主机名
74 1
SPRING 数据库密码加密存储 在配置文件的两种方式 第一种
SPRING 数据库密码加密存储 在配置文件的两种方式 第一种
1810 0

热门文章

最新文章