AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

SpringBoot敏感配置加密:Jasypt

2023-05-30 277
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
推荐场景:
学生管理系统数据库设计 搭建个人博客
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
云数据库 RDS MySQL,高可用系列 2核4GB
简介: SpringBoot敏感配置加密:Jasypt

7DTXY0{15Z}AO%G7`ZIP`GW.png

背景


  • 对于配置中的密码(DB, MQ, Redis等),甚至账号,在生产环境下存明文,不安全,不专业,不合适。
  • 一把插着钥匙的锁,能说它是安全的吗?

操作流程


关于Jasypt实现对配置项的加密,网络上已经有很多这方面的资料,这里简要描述下步骤。

  1. 引入依赖
<dependency>
  <groupId>com.github.ulisesbocchio</groupId>
  <artifactId>jasypt-spring-boot-starter</artifactId>
  <version>1.18</version>
</dependency>
  1. 生成密文

  • 如果计算机上有项目用过Jasypt的,那么在maven的仓库目录下会有Jasypt的jar包。如果本地仓库没有,先下载jar包。在jar包所在目录下打开cmd命令行,键入java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=you-guess algorithm=PBEWithMD5AndDES

  • PC2Z$VB6WK4]H~BX8E~(V@B.png

  • 最下面输出的qN66aPx0SrcFulrPfmMXOw==是密文,在接下来要放入配置文件。
  1. 修改已有的配置

在已有的明文配置文件中,修改Jasypt密码相关配置。


spring:
  datasource:
    driverClassName: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/mp?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
    username: root
    password: ENC(qN66aPx0SrcFulrPfmMXOw==)
# 配置日志
logging:
  level:
    root: info
    com.heartsuit.dao: trace
  pattern:
    console: '%p%m%n'
# 加密密钥
jasypt:
  encryptor:
    password: you-guess

上面的修改主要有:

}80J`N3P~YB)]0A5RU05J6Q.png


Note: 生成的密文要用ENC()包起来,这是Jasypt的要求。

  1. 测试修改后的配置

略(按照上述配置,应一切正常~~)


Note: 需要注意的是,用于生成加密后的密码的密钥不可放在配置文件或者代码中,加密密钥jasypt.encryptor.password=you-guess可以对密文解密。因此,上述配置若在团队内可见,没什么影响,但是如果配置文件万一被放到了公网上,相当于把钥匙插在锁上,白加密了。。在生产环境下,建议去掉加密密钥配置:


spring:
  datasource:
    driverClassName: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/mp?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
    username: root
    password: ENC(qN66aPx0SrcFulrPfmMXOw==)
# 配置日志
logging:
  level:
    root: info
    com.heartsuit.dao: trace
  pattern:
    console: '%p%m%n'

仅去掉了:jasypt.encryptor.password=you-guess,这里jasypt.encryptor.password=you-guess可以有两种传入方式:

  • 通过服务启动参数


java -jar xxx.jar --jasypt.encryptor.password=you-guess
  • 通过系统环境变量

这个可以通过Idea IDE传入(开发环境),或者实际的系统环境变量传入(生产环境)。


Jasypt的加密与解密


通过Jasypt命令行的方式生产密文密码后,可以用Jasypt提供的API进行解密,当然,也可以用API的方式来完成加密。

  • 加密与解密

@Component
public class StringEncryptDecrypt {
    @Autowired
    StringEncryptor encryptor;
    public String encrypt(String plainText) {
        // Encrypt
        String encrypted = encryptor.encrypt(plainText);
        System.out.println("Encrypted: " + encrypted);
        return encrypted;
    }
    public String decrypt(String encrypted) {
        // Decrypt
        String decrypted = encryptor.decrypt(encrypted);
        System.out.println("Decrypted: " + decrypted);
        return decrypted;
    }
}

总结


实现对配置文件敏感数据的加密,网上资源很多,但一定要注意安全性,不可以把公钥公开配置在文件中;还是开头那句话:

一把插着钥匙的锁,能说它是安全的吗?


Source Code: Github

Reference: github.com/ulisesbocch…

If you have any questions or any bugs are found, please feel free to contact me.

Your comments and suggestions are welcome!

文章标签:
密钥管理服务
云数据库 RDS MySQL 版
Java
开发工具
NoSQL
数据安全/隐私保护
Redis
IDE
Maven
安全
API
关键词:
Spring Boot jasypt
密钥管理服务配置
Spring Boot加密
Spring Boot配置加密
Spring Boot敏感加密
HeartSuit
目录
相关文章
星兽
|
2月前
|
Java Spring
Spring Boot配置的优先级?
在Spring Boot项目中,配置可通过配置文件和外部配置实现。支持的配置文件包括application.properties、application.yml和application.yaml,优先级依次降低。外部配置常用方式有Java系统属性(如-Dserver.port=9001)和命令行参数(如--server.port=10010),其中命令行参数优先级高于系统属性。整体优先级顺序为:命令行参数 &gt; Java系统属性 &gt; application.properties &gt; application.yml &gt; application.yaml。
星兽
527 0
蓝易云
|
1月前
|
安全 算法 Java
在Spring Boot中应用Jasypt以加密配置信息。
通过以上步骤,可以在Spring Boot应用中有效地利用Jasypt对配置信息进行加密,这样即使配置文件被泄露,其中的敏感信息也不会直接暴露给攻击者。这是一种在不牺牲操作复杂度的情况下提升应用安全性的简便方法。
蓝易云
601 10
2G冲浪词条
|
2月前
|
人工智能 安全 Java
Spring Boot yml 配置敏感信息加密
本文介绍了如何在 Spring Boot 项目中使用 Jasypt 实现配置文件加密,包含添加依赖、配置密钥、生成加密值、在配置中使用加密值及验证步骤,并提供了注意事项,确保敏感信息的安全管理。
2G冲浪词条
728 1
大熊计算机
|
3月前
|
存储 运维 安全
OSS安全合规实战:金融行业敏感数据加密+KMS自动轮转策略(满足等保2.0三级要求)
金融行业OSS面临等保2.0、行业监管及数据泄露三重合规挑战,存在存储加密不足、密钥轮转滞后、访问控制不当等问题。本文提出分层加密架构,结合服务端KMS与客户端加密,设计自动密钥轮转机制,实现高性能与合规兼顾,并提供故障排查与成本优化方案,助力金融机构安全落地OSS应用。
大熊计算机
126 1
高端源码库
|
4月前
|
JavaScript 前端开发 Java
制造业ERP源码,工厂ERP管理系统,前端框架:Vue,后端框架:SpringBoot
这是一套基于SpringBoot+Vue技术栈开发的ERP企业管理系统,采用Java语言与vscode工具。系统涵盖采购/销售、出入库、生产、品质管理等功能,整合客户与供应商数据,支持在线协同和业务全流程管控。同时提供主数据管理、权限控制、工作流审批、报表自定义及打印、在线报表开发和自定义表单功能,助力企业实现高效自动化管理,并通过UniAPP实现移动端支持,满足多场景应用需求。
高端源码库
426 1
net936
|
5月前
|
前端开发 Java 关系型数据库
基于Java+Springboot+Vue开发的鲜花商城管理系统源码+运行
基于Java+Springboot+Vue开发的鲜花商城管理系统(前后端分离),这是一项为大学生课程设计作业而开发的项目。该系统旨在帮助大学生学习并掌握Java编程技能,同时锻炼他们的项目设计与开发能力。通过学习基于Java的鲜花商城管理系统项目,大学生可以在实践中学习和提升自己的能力,为以后的职业发展打下坚实基础。技术学习共同进步
net936
412 7
高端源码库
|
4月前
|
供应链 JavaScript BI
ERP系统源码,基于SpringBoot+Vue+ElementUI+UniAPP开发
这是一款专为小微企业打造的 SaaS ERP 管理系统,基于 SpringBoot+Vue+ElementUI+UniAPP 技术栈开发,帮助企业轻松上云。系统覆盖进销存、采购、销售、生产、财务、品质、OA 办公及 CRM 等核心功能,业务流程清晰且操作简便。支持二次开发与商用,提供自定义界面、审批流配置及灵活报表设计,助力企业高效管理与数字化转型。
高端源码库
432 2
ERP系统源码,基于SpringBoot+Vue+ElementUI+UniAPP开发
可可dream乐乐-45653
|
8月前
|
JavaScript Java 测试技术
基于SpringBoot+Vue实现的留守儿童爱心网站设计与实现(计算机毕设项目实战+源码+文档)
博主是一位全网粉丝超过100万的CSDN特邀作者、博客专家,专注于Java、Python、PHP等技术领域。提供SpringBoot、Vue、HTML、Uniapp、PHP、Python、NodeJS、爬虫、数据可视化等技术服务,涵盖免费选题、功能设计、开题报告、论文辅导、答辩PPT等。系统采用SpringBoot后端框架和Vue前端框架,确保高效开发与良好用户体验。所有代码由博主亲自开发,并提供全程录音录屏讲解服务,保障学习效果。欢迎点赞、收藏、关注、评论,获取更多精品案例源码。
可可dream乐乐-45653
249 10
可可dream乐乐-45653
|
8月前
|
JavaScript Java 测试技术
基于SpringBoot+Vue实现的家政服务管理平台设计与实现(计算机毕设项目实战+源码+文档)
面向大学生毕业选题、开题、任务书、程序设计开发、论文辅导提供一站式服务。主要服务:程序设计开发、代码修改、成品部署、支持定制、论文辅导,助力毕设!
可可dream乐乐-45653
284 8
可可dream乐乐-45653
|
8月前
|
JavaScript 搜索推荐 Java
基于SpringBoot+Vue实现的家乡特色推荐系统设计与实现(源码+文档+部署)
面向大学生毕业选题、开题、任务书、程序设计开发、论文辅导提供一站式服务。主要服务:程序设计开发、代码修改、成品部署、支持定制、论文辅导,助力毕设!
可可dream乐乐-45653
231 8

热门文章

最新文章

  • 1
    对称加密、非对称加密与哈希摘要
  • 2
    在Spring Boot中应用Jasypt以加密配置信息。
  • 3
    (ElasticsSearch学习)歌词检索Demo的实现:二. 搭建spring boot+spring data+jest+elasticsearch环境,实现歌词的全文检索
  • 4
    SpringBoot + Vue 前后端分离项目部署到服务器上
  • 5
    Springboot整合redis(lettuce)
  • 6
    【RocketMQ系列八】SpringBoot集成RocketMQ-实现普通消息和事务消息
  • 7
    基于SpringBoot校园失物招领系统的设计与实现(程序+数据库+文档)
  • 8
    SpringBoot从入门到精通(二十四)3分钟搞定Spring Boot 多环境配置!
  • 9
    开发者学堂课程干货总结——Spring Boot 2.5.x开发实战(八)
  • 10
    Spring Boot自动化配置的利弊及解决之道
  • 1
    金盾金狮pbb爱问云点盾云加密视频录屏翻录提取教程
    2170
  • 2
    网络安全与信息安全:漏洞、加密技术与安全意识的探讨
    80
  • 3
    二进制加密PHP Webshell原理及简单实现
    315
  • 4
    数字堡垒之下:网络安全漏洞、加密技术与安全意识的交织
    73
  • 5
    [flask]使用mTLS双向加密认证http通信
    273
  • 6
    [golang]使用mTLS双向加密认证http通信
    252
  • 7
    [grpc]使用mTLS加密认证
    177
  • 8
    网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
    107
  • 9
    网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
    106
  • 10
    网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
    106

    • 相关课程

    更多
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
  • SpringBoot实战教程
  • SpringBoot快速掌握 - 核心技术
  • SpringBoot快速掌握 - 高级应用
  • Springboot项目云开发快速迁移

    • 相关电子书

    更多
  • 基于可信计算与加密计算 打造云上原生计算安全
  • 视频服务特色解决方案——直播连麦与点播加密
  • 量子加密通信技术
    • 下一篇
    蛋白质语言模型 ProGen:在实验室合成由 AI 预测的蛋白质