Spring Boot配置文件数据也可以轻松加密?

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: Spring Boot配置文件数据也可以轻松加密?

在实践中,项目的某些配置信息是需要进行加密处理的,以减少敏感信息泄露的风险。比如,在使用Druid时,就可以基于它提供的公私钥加密方式对数据库的密码进行加密。


但更多时候,比如Redis密码、MQ密码等敏感信息,也需要进行加密,此时就没那么方便了。本篇文章给大家介绍一款Java类库Jasypt,同时基于Spring Boot项目来演示一下如何对配置文件信息进行加密。


一个简单的SpringBoot项目

我们先来创建一个简单的Spring Boot项目,构建一个加密数据运用的场景。


无论通过Idea或官网等方式,先创建一个Spring Boot项目,核心依赖为:


<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--    为了方便,通常会引入Lombok依赖    -->
<dependency>
  <groupId>org.projectlombok</groupId>
  <artifactId>lombok</artifactId>
</dependency>

创建一个配置文件类ConfigProperties:

@Data
@Component
public class ConfigProperties {
  @Value("${conf.url}")
  private String url;
  @Value("${conf.password}")
  private String password;
}

配置文件中的配置属性注入到该类,以供后续使用。

创建一个Controller类,用来测试验证,是否能够正常运行:

@RestController
@RequestMapping("/")
public class ConfigController {
  @Resource
  private ConfigProperties configProperties;
  @RequestMapping
  public void print(){
    System.out.println(configProperties.getUrl());
    System.out.println(configProperties.getPassword());
  }
}

对应ConfigProperties类,application.properties中配置如下:


conf.url=127.0.0.1

conf.password=admin123

1

2

此时,启动项目,访问Controller,能够正常打印出配置信息,说明程序可以正常运行。


但配置文件中直接明文展示了password项,如果别人看到该配置文件,就可能导致密码的泄露。


基于Jasypt的加密

针对上述情况,通常,我们会对敏感信息进行加密,避免明文密码信息暴露,提升安全等级。


加密的基本思路是:配置文件中存储加密内容,在解析配置文件注入时进行解密。


但如果拿到项目源码,知道加密算法和秘钥,肯定是可以解密的。这里的加密,只是多一层安全防护,但并不是万能的。


下面看看如何基于Jasypt来进行加密处理。


集成步骤

下面基于上述Spring Boot项目进行改造升级。


环境准备

不同版本的Jasypt使用方法有所不同,这里基于3.0.4版本、JDK8、Spring Boot 2.5.5来进行演示。


在使用之前,首先检查一下JDK8的JRE中是否安装了不限长度的JCE版本,否则在执行加密操作时会抛出解密失败的异常。


进入$JAVA_HOME/jre/lib/security目录,查看是否包含local_policy.jar和US_export_policy.jar两个jar包。如果不包含,则通过Oracle官网进行下载,下载地址:https://www.oracle.com/java/technologies/javase-jce8-downloads.html


下载文件为:jce_policy-8.zip


文件内包含三个文件:


README.txt

local_policy.jar

US_export_policy.jar

1

2

3

查看$JAVA_HOME/jre/lib/security目录下是否有这两个jar包文件,如果没有则复制进去,如果有可考虑覆盖。


引入依赖

在Spring Boot中集成Jasypt比较简单,直接引入如下依赖即可:


<dependency>

   <groupId>com.github.ulisesbocchio</groupId>

   <artifactId>jasypt-spring-boot-starter</artifactId>

   <version>3.0.4</version>

</dependency>

1

2

3

4

5

此时,Jasypt组件自动配置便已经生效,只需要对需要加密的数据进行处理了。


为了方便对密码进行加密,还可以在pom.xml中的build元素中引入对应的plugin,这个后面会用到:


<plugin>

<groupId>com.github.ulisesbocchio</groupId>

<artifactId>jasypt-maven-plugin</artifactId>

<version>3.0.4</version>

</plugin>

1

2

3

4

5

至此,所有的准备工作已经完成。


内容加密

内容加密有多种方式,这里挑选两种方式进行介绍。


方式一:单元测试类生成密文;


构建如下单元测试类,使用默认实例化的StringEncryptor对密码进行加密:


@SpringBootTest
class SpringBootJasyptApplicationTests {
  @Autowired
  private StringEncryptor stringEncryptor;
  @Test
  void contextLoads() {
    String qwerty1234 = stringEncryptor.encrypt("admin123");
    System.out.println(qwerty1234);
  }
}

其中,”admin123“便是要加密的内容。执行上述程序,便可打印加密后的内容。这种形式加密的内容,全部采用默认值。


方式二:通过Maven插件生成密文


在上面已经引入了Jasypt的Maven插件,可通过对应的命令进行生成密码。


第一步:在配置文件中添加加密的密码:


jasypt.encryptor.password=afx11

1

然后对配置文件中需要加密的数据进行改造,在数据前添加”DEC(“,在数据尾部加上")",修改完如下:


conf.password=DEC(admin123)

1

这里添加的DEC()是告诉插件,此部分内容需要进行加密处理。注意这里关键字是DEC。


第二步:执行Maven命令,对上述数据进行加密处理


在命令执行以下命令:


mvn jasypt:encrypt -Djasypt.encryptor.password=afx11

1

此时再看配置文件中的conf.password数据已经变为:


jasypt.encryptor.password=afx11

conf.url=127.0.0.1

conf.password=ENC(209eBdF3+jsV2f8kDjs4NOCzgBxnVgETlR5q2KfhYo5DW2jqvLknv0TndEkXOXm0)

1

2

3

注意原来的DEC变成了ENC,原来的明文密码变成了加密的密文。


此时,如果想查看明文,执行以下命令即可:


mvn jasypt:decrypt -Djasypt.encryptor.password=afx11

1

该命令不会修改配置文件中的密文为明文,只会在控制台进行明文结果的输出。


jasypt.encryptor.password=afx11

conf.url=127.0.0.1

conf.password=DEC(admin123)

1

2

3

经过上述操作,所有改造步骤已经完成,只需启动系统进行验证即可。


密码的传递方式

完成上述步骤,直接启动系统,访问对应的请求,会发现已经能够成功打印出密码原文了。


上述实例中我们将加密的密码放在了application.properties文件中,这样并不安全,如果查看代码就知道如何解密了。通常,还可以采用另外一种形式来传递参数:在启动命令中传输密码。


比如:


java -jar jasypt-spring-boot-demo-0.0.1-SNAPSHOT.jar --jasypt.encryptor.password=password

1

这样,密码便不用存储在代码当中了,一定程度上增加了安全性。当然,也可以通过环境变量来进行传递,这样即便开发人员也无法获得生产的密码。


小结

关于Jasypt的使用及与Spring Boot的集成就讲这么多,更多内容也可参考官方文档说明。如果你的项目中还存在很多明文存储的密码,真的有必要考虑使用类似的框架进行加密处理了。


示例源码地址:https://github.com/secbr/springboot-all/tree/master/springboot-jasypt


官方源码地址:https://github.com/ulisesbocchio/jasypt-spring-boot


目录
相关文章
|
2月前
|
XML Java 数据格式
Spring从入门到入土(xml配置文件的基础使用方式)
本文详细介绍了Spring框架中XML配置文件的使用方法,包括读取配置文件、创建带参数的构造对象、使用工厂方法和静态方法创建对象、对象生命周期管理以及单例和多例模式的测试。
120 7
Spring从入门到入土(xml配置文件的基础使用方式)
|
2月前
|
Java API Spring
在 Spring 配置文件中配置 Filter 的步骤
【10月更文挑战第21天】在 Spring 配置文件中配置 Filter 是实现请求过滤的重要手段。通过合理的配置,可以灵活地对请求进行处理,满足各种应用需求。还可以根据具体的项目要求和实际情况,进一步深入研究和优化 Filter 的配置,以提高应用的性能和安全性。
|
1月前
|
网络协议 Java
springboot配置hosts文件
springboot配置hosts文件
46 11
|
1月前
|
Java 数据库连接 数据库
springboot启动配置文件-bootstrap.yml常用基本配置
以上是一些常用的基本配置项,在实际应用中可能会根据需求有所变化。通过合理配置 `bootstrap.yml`文件,可以确保应用程序在启动阶段加载正确的配置,并顺利启动运行。
120 2
|
1月前
|
数据库 数据安全/隐私保护 Windows
Windows远程桌面出现CredSSP加密数据修正问题解决方案
【10月更文挑战第30天】本文介绍了两种解决Windows系统凭据分配问题的方法。方案一是通过组策略编辑器(gpedit.msc)启用“加密数据库修正”并将其保护级别设为“易受攻击”。方案二是通过注册表编辑器(regedit)在指定路径下创建或修改名为“AllowEncryptionOracle”的DWORD值,并将其数值设为2。
295 3
|
1月前
|
Java Spring 容器
SpringBoot读取配置文件的6种方式,包括:通过Environment、@PropertySource、@ConfigurationProperties、@Value读取配置信息
SpringBoot读取配置文件的6种方式,包括:通过Environment、@PropertySource、@ConfigurationProperties、@Value读取配置信息
98 3
|
1月前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:从漏洞到加密,保护数据的关键步骤
【10月更文挑战第24天】在数字化时代,网络安全和信息安全是维护个人隐私和企业资产的前线防线。本文将探讨网络安全中的常见漏洞、加密技术的重要性以及如何通过提高安全意识来防范潜在的网络威胁。我们将深入理解网络安全的基本概念,学习如何识别和应对安全威胁,并掌握保护信息不被非法访问的策略。无论你是IT专业人士还是日常互联网用户,这篇文章都将为你提供宝贵的知识和技能,帮助你在网络世界中更安全地航行。
|
2月前
|
存储 安全 Java
|
2月前
|
Java 测试技术 Spring
springboot学习三:Spring Boot 配置文件语法、静态工具类读取配置文件、静态工具类读取配置文件
这篇文章介绍了Spring Boot中配置文件的语法、如何读取配置文件以及如何通过静态工具类读取配置文件。
152 0
springboot学习三:Spring Boot 配置文件语法、静态工具类读取配置文件、静态工具类读取配置文件
|
2月前
|
算法 安全 数据安全/隐私保护
加密和解密数据
【10月更文挑战第6天】加密和解密数据
67 2
下一篇
DataWorks