AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

SpringBoot敏感配置加密:Jasypt

2023-05-30 182
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
推荐场景:
学生管理系统数据库设计 搭建个人博客
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: SpringBoot敏感配置加密:Jasypt

7DTXY0{15Z}AO%G7`ZIP`GW.png

背景


  • 对于配置中的密码(DB, MQ, Redis等),甚至账号,在生产环境下存明文,不安全,不专业,不合适。
  • 一把插着钥匙的锁,能说它是安全的吗?

操作流程


关于Jasypt实现对配置项的加密,网络上已经有很多这方面的资料,这里简要描述下步骤。

  1. 引入依赖
<dependency>
  <groupId>com.github.ulisesbocchio</groupId>
  <artifactId>jasypt-spring-boot-starter</artifactId>
  <version>1.18</version>
</dependency>
  1. 生成密文

  • 如果计算机上有项目用过Jasypt的,那么在maven的仓库目录下会有Jasypt的jar包。如果本地仓库没有,先下载jar包。在jar包所在目录下打开cmd命令行,键入java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=you-guess algorithm=PBEWithMD5AndDES

  • PC2Z$VB6WK4]H~BX8E~(V@B.png

  • 最下面输出的qN66aPx0SrcFulrPfmMXOw==是密文,在接下来要放入配置文件。
  1. 修改已有的配置

在已有的明文配置文件中,修改Jasypt密码相关配置。


spring:
  datasource:
    driverClassName: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/mp?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
    username: root
    password: ENC(qN66aPx0SrcFulrPfmMXOw==)
# 配置日志
logging:
  level:
    root: info
    com.heartsuit.dao: trace
  pattern:
    console: '%p%m%n'
# 加密密钥
jasypt:
  encryptor:
    password: you-guess

上面的修改主要有:

}80J`N3P~YB)]0A5RU05J6Q.png


Note: 生成的密文要用ENC()包起来,这是Jasypt的要求。

  1. 测试修改后的配置

略(按照上述配置,应一切正常~~)


Note: 需要注意的是,用于生成加密后的密码的密钥不可放在配置文件或者代码中,加密密钥jasypt.encryptor.password=you-guess可以对密文解密。因此,上述配置若在团队内可见,没什么影响,但是如果配置文件万一被放到了公网上,相当于把钥匙插在锁上,白加密了。。在生产环境下,建议去掉加密密钥配置:


spring:
  datasource:
    driverClassName: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/mp?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
    username: root
    password: ENC(qN66aPx0SrcFulrPfmMXOw==)
# 配置日志
logging:
  level:
    root: info
    com.heartsuit.dao: trace
  pattern:
    console: '%p%m%n'

仅去掉了:jasypt.encryptor.password=you-guess,这里jasypt.encryptor.password=you-guess可以有两种传入方式:

  • 通过服务启动参数


java -jar xxx.jar --jasypt.encryptor.password=you-guess
  • 通过系统环境变量

这个可以通过Idea IDE传入(开发环境),或者实际的系统环境变量传入(生产环境)。


Jasypt的加密与解密


通过Jasypt命令行的方式生产密文密码后,可以用Jasypt提供的API进行解密,当然,也可以用API的方式来完成加密。

  • 加密与解密

@Component
public class StringEncryptDecrypt {
    @Autowired
    StringEncryptor encryptor;
    public String encrypt(String plainText) {
        // Encrypt
        String encrypted = encryptor.encrypt(plainText);
        System.out.println("Encrypted: " + encrypted);
        return encrypted;
    }
    public String decrypt(String encrypted) {
        // Decrypt
        String decrypted = encryptor.decrypt(encrypted);
        System.out.println("Decrypted: " + decrypted);
        return decrypted;
    }
}

总结


实现对配置文件敏感数据的加密,网上资源很多,但一定要注意安全性,不可以把公钥公开配置在文件中;还是开头那句话:

一把插着钥匙的锁,能说它是安全的吗?


Source Code: Github

Reference: github.com/ulisesbocch…

If you have any questions or any bugs are found, please feel free to contact me.

Your comments and suggestions are welcome!

文章标签:
密钥管理服务
云数据库 RDS MySQL 版
Java
开发工具
NoSQL
数据安全/隐私保护
Redis
IDE
Maven
安全
API
关键词:
Spring Boot加密
敏感密钥管理服务
密钥管理服务配置
Spring Boot jasypt
敏感配置密钥管理服务
HeartSuit
目录
相关文章
杀死一只知更鸟debug
|
2月前
|
SQL 监控 druid
springboot-druid数据源的配置方式及配置后台监控-自定义和导入stater(推荐-简单方便使用)两种方式配置druid数据源
这篇文章介绍了如何在Spring Boot项目中配置和监控Druid数据源,包括自定义配置和使用Spring Boot Starter两种方法。
杀死一只知更鸟debug
446 1
龙大吉
|
25天前
|
Java API 数据库
构建RESTful API已经成为现代Web开发的标准做法之一。Spring Boot框架因其简洁的配置、快速的启动特性及丰富的功能集而备受开发者青睐。
【10月更文挑战第11天】本文介绍如何使用Spring Boot构建在线图书管理系统的RESTful API。通过创建Spring Boot项目,定义`Book`实体类、`BookRepository`接口和`BookService`服务类,最后实现`BookController`控制器来处理HTTP请求,展示了从基础环境搭建到API测试的完整过程。
龙大吉
38 4
明弟有理想
|
29天前
|
Java 数据库连接 Maven
springBoot:项目建立&配置修改&yaml的使用&resource 文件夹(二)
本文档介绍了如何创建一个基于Maven的项目,并配置阿里云仓库、数据库连接、端口号、自定义启动横幅及多环境配置等。同时,详细说明了如何使用YAML格式进行配置,以及如何处理静态资源和模板文件。文档还涵盖了Spring Boot项目的`application.properties`和`application.yaml`文件的配置方法,包括设置数据库驱动、URL、用户名、密码等关键信息,以及如何通过配置文件管理不同环境下的应用设置。
明弟有理想
67 1
龙大吉
|
22天前
|
Java API 数据库
Spring Boot框架因其简洁的配置、快速的启动特性及丰富的功能集而备受开发者青睐
本文通过在线图书管理系统案例,详细介绍如何使用Spring Boot构建RESTful API。从项目基础环境搭建、实体类与数据访问层定义,到业务逻辑实现和控制器编写,逐步展示了Spring Boot的简洁配置和强大功能。最后,通过Postman测试API,并介绍了如何添加安全性和异常处理,确保API的稳定性和安全性。
龙大吉
32 0
聚优云惠
|
2天前
|
缓存 IDE Java
SpringBoot入门(7)- 配置热部署devtools工具
SpringBoot入门(7)- 配置热部署devtools工具
聚优云惠
9 2
SpringBoot入门(7)- 配置热部署devtools工具
刘大猫.
|
9天前
|
Java Spring 容器
SpringBoot读取配置文件的6种方式,包括:通过Environment、@PropertySource、@ConfigurationProperties、@Value读取配置信息
SpringBoot读取配置文件的6种方式,包括:通过Environment、@PropertySource、@ConfigurationProperties、@Value读取配置信息
刘大猫.
32 3
我是快乐的嘟嘟
|
17天前
|
存储 安全 Java
在 Spring Boot 中使用 JWT 进行接口加密解密的方法
【10月更文挑战第18天】
我是快乐的嘟嘟
44 7
iamzfh
|
20天前
|
druid Java Maven
SpringBoot3.3.4配置Druid出现版本问题,导致后面属性爆红
【10月更文挑战第8天】
iamzfh
56 8
我是快乐的嘟嘟
|
17天前
|
存储 算法 安全
SpringBoot 接口加密解密实现
【10月更文挑战第18天】
我是快乐的嘟嘟
28 3
java冯坚持
|
28天前
|
NoSQL Java Redis
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。
这篇文章介绍了如何使用Spring Boot整合Apache Shiro框架进行后端开发,包括认证和授权流程,并使用Redis存储Token以及MD5加密用户密码。
java冯坚持
23 0
shiro学习四:使用springboot整合shiro,正常的企业级后端开发shiro认证鉴权流程。使用redis做token的过滤。md5做密码的加密。

热门文章

最新文章

  • 1
    SpringBoot开发案例之整合Dubbo提供者(一)
  • 2
    5种SpringBoot热部署方式,你用哪种?
  • 3
    springboot event线程池总结
  • 4
    SpringBoot集成Swagger
  • 5
    深入实践Spring Boot3.2.4 删除控制器
  • 6
    spring boot应用启动原理分析
  • 7
    阿里开发者学院:Java Spring Boot 2.5.x开发实战课程
  • 8
    一文搞懂阿里云服务器部署MySQL并整合Spring Boot
  • 9
    13.14 SpringBoot集成JSP模板引擎:JSP页面样式乱掉
  • 10
    定义全局异常处理器 | 带你读《SpringBoot实战教程》之十三
  • 1
    在PHP中使用AES进行加密和解密
    421
  • 2
    Java代码能实现这些隐藏的加密功能
    102
  • 3
    安全多方计算之三:同态加密
    1052
  • 4
    密码学系列之九:密钥管理
    488
  • 5
    Python的hashlib模块:7种加密算法深入剖析
    375
  • 6
    https跳过SSL认证时是不是就是不加密的,相当于http?
    334
  • 7
    通过一篇文章带你解决如何加密代码任然可以运行
    271
  • 8
    Linux vsFTPd服务详解——文件加密传输配置
    232
  • 9
    数据安全之道:加密算法在现代网络通信中的应用
    516
  • 10
    SpringBoot+随机盐值+双重MD5实现加密登录
    615

    • 相关课程

    更多
  • 微服务+全栈在线教育实战项目演练(SpringCloud Alibaba+SpringBoot)
  • SpringBoot实战教程
  • SpringBoot快速掌握 - 核心技术
  • SpringBoot快速掌握 - 高级应用
  • Springboot项目云开发快速迁移

    • 相关电子书

    更多
  • 基于可信计算与加密计算 打造云上原生计算安全
  • \"视频服务特色解决方案——直播连麦与点播加密 \"
  • 量子加密通信技术

    • 相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
  • RSA非对称加密算法
  • 从零搭建Spring Boot的Hello World
    • 下一篇
    无影云桌面