SpringBoot敏感配置加密：Jasypt-阿里云开发者社区

SpringBoot敏感配置加密：Jasypt

2023-05-30 158

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

本文涉及的产品

云数据库 RDS MySQL，集群版 2核4GB 100GB

RDS MySQL Serverless 基础系列，0.5-2RCU 50GB

云数据库 RDS MySQL，高可用版 2核4GB 50GB

简介： SpringBoot敏感配置加密：Jasypt

7DTXY0{15Z}AO%G7`ZIP`GW.png

背景

对于配置中的密码（DB, MQ, Redis等），甚至账号，在生产环境下存明文，不安全，不专业，不合适。
一把插着钥匙的锁，能说它是安全的吗？

操作流程

关于Jasypt实现对配置项的加密，网络上已经有很多这方面的资料，这里简要描述下步骤。

引入依赖

<dependency>
  <groupId>com.github.ulisesbocchio</groupId>
  <artifactId>jasypt-spring-boot-starter</artifactId>
  <version>1.18</version>
</dependency>

生成密文

如果计算机上有项目用过Jasypt的，那么在maven的仓库目录下会有Jasypt的jar包。如果本地仓库没有，先下载jar包。在jar包所在目录下打开cmd命令行，键入java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=you-guess algorithm=PBEWithMD5AndDES
最下面输出的qN66aPx0SrcFulrPfmMXOw==是密文，在接下来要放入配置文件。

修改已有的配置

在已有的明文配置文件中，修改Jasypt密码相关配置。

spring:
  datasource:
    driverClassName: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/mp?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
    username: root
    password: ENC(qN66aPx0SrcFulrPfmMXOw==)
# 配置日志
logging:
  level:
    root: info
    com.heartsuit.dao: trace
  pattern:
    console: '%p%m%n'
# 加密密钥
jasypt:
  encryptor:
    password: you-guess

上面的修改主要有：

}80J`N3P~YB)]0A5RU05J6Q.png

Note: 生成的密文要用ENC()包起来，这是Jasypt的要求。

测试修改后的配置

略（按照上述配置，应一切正常~~）

Note: 需要注意的是，用于生成加密后的密码的密钥不可放在配置文件或者代码中，加密密钥jasypt.encryptor.password=you-guess可以对密文解密。因此，上述配置若在团队内可见，没什么影响，但是如果配置文件万一被放到了公网上，相当于把钥匙插在锁上，白加密了。。在生产环境下，建议去掉加密密钥配置：

spring:
  datasource:
    driverClassName: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/mp?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
    username: root
    password: ENC(qN66aPx0SrcFulrPfmMXOw==)
# 配置日志
logging:
  level:
    root: info
    com.heartsuit.dao: trace
  pattern:
    console: '%p%m%n'

仅去掉了：jasypt.encryptor.password=you-guess，这里jasypt.encryptor.password=you-guess可以有两种传入方式：

通过服务启动参数

java -jar xxx.jar --jasypt.encryptor.password=you-guess

通过系统环境变量

这个可以通过Idea IDE传入（开发环境），或者实际的系统环境变量传入（生产环境）。

Jasypt的加密与解密

通过Jasypt命令行的方式生产密文密码后，可以用Jasypt提供的API进行解密，当然，也可以用API的方式来完成加密。

加密与解密

@Component
public class StringEncryptDecrypt {
    @Autowired
    StringEncryptor encryptor;
    public String encrypt(String plainText) {
        // Encrypt
        String encrypted = encryptor.encrypt(plainText);
        System.out.println("Encrypted: " + encrypted);
        return encrypted;
    }
    public String decrypt(String encrypted) {
        // Decrypt
        String decrypted = encryptor.decrypt(encrypted);
        System.out.println("Decrypted: " + decrypted);
        return decrypted;
    }
}

总结

实现对配置文件敏感数据的加密，网上资源很多，但一定要注意安全性，不可以把公钥公开配置在文件中；还是开头那句话：

一把插着钥匙的锁，能说它是安全的吗？

Source Code: Github

Reference: github.com/ulisesbocch…

If you have any questions or any bugs are found, please feel free to contact me.

Your comments and suggestions are welcome!

SpringBoot敏感配置加密：Jasypt

背景

操作流程

Jasypt的加密与解密

总结

Source Code: Github

Reference: github.com/ulisesbocch…

热门文章

最新文章

相关课程

相关电子书

相关实验场景