Spring Boot加密配置文件方法介绍

 更新时间:2023年01月18日 08:30:24   作者:做网安的小王  
这篇文章主要介绍了SpringBoot加密配置文件,近期在对开发框架安全策略方面进行升级优化,提供一些通用场景的解决方案,本文针对配置文件加密进行简单的分享

在实践中,项目的某些配置信息是需要进行加密处理的,以减少敏感信息泄露的风险。比如,在使用Druid时,就可以基于它提供的公私钥加密方式对数据库的密码进行加密。

但更多时候,比如Redis密码、MQ密码等敏感信息,也需要进行加密,此时就没那么方便了。本篇文章给大家介绍一款Java类库Jasypt,同时基于Spring Boot项目来演示一下如何对配置文件信息进行加密。

一个简单的SpringBoot项目

我们先来创建一个简单的Spring Boot项目,构建一个加密数据运用的场景。

无论通过Idea或官网等方式,先创建一个Spring Boot项目,核心依赖为:

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId>
</dependency>
<!--  为了方便,通常会引入Lombok依赖  -->
<dependency><groupId>org.projectlombok</groupId><artifactId>lombok</artifactId>
</dependency> 

创建一个配置文件类ConfigProperties:

@Data
@Component
public class ConfigProperties {
​@Value("${conf.url}")private String url;
​@Value("${conf.password}")private String password;
} 

配置文件中的配置属性注入到该类,以供后续使用。

创建一个Controller类,用来测试验证,是否能够正常运行:

@RestController
@RequestMapping("/")
public class ConfigController {
​@Resourceprivate ConfigProperties configProperties;
​@RequestMappingpublic void print(){System.out.println(configProperties.getUrl());System.out.println(configProperties.getPassword());}
} 

对应ConfigProperties类,application.properties中配置如下:

conf.url=127.0.0.1
conf.password=admin123 

此时,启动项目,访问Controller,能够正常打印出配置信息,说明程序可以正常运行。

但配置文件中直接明文展示了password项,如果别人看到该配置文件,就可能导致密码的泄露。

基于Jasypt的加密

针对上述情况,通常,我们会对敏感信息进行加密,避免明文密码信息暴露,提升安全等级。

加密的基本思路是:配置文件中存储加密内容,在解析配置文件注入时进行解密。

但如果拿到项目源码,知道加密算法和秘钥,肯定是可以解密的。这里的加密,只是多一层安全防护,但并不是万能的。

下面看看如何基于Jasypt来进行加密处理。

集成步骤

下面基于上述Spring Boot项目进行改造升级。

环境准备

不同版本的Jasypt使用方法有所不同,这里基于3.0.4版本、JDK8、Spring Boot 2.5.5来进行演示。

在使用之前,首先检查一下JDK8的JRE中是否安装了不限长度的JCE版本,否则在执行加密操作时会抛出解密失败的异常。

进入$JAVA_HOME/jre/lib/security目录,查看是否包含local_policy.jar和US_export_policy.jar两个jar包。如果不包含,则通过Oracle官网进行下载,下载地址:https://pan.baidu.com/s/1pLUNUBvF6TWudeYcf5BNjA?pwd=qgk9

下载文件为:jce_policy-8.zip

文件内包含三个文件:

README.txt
local_policy.jar
US_export_policy.jar 

查看$JAVA_HOME/jre/lib/security目录下是否有这两个jar包文件,如果没有则复制进去,如果有可考虑覆盖。

引入依赖

在Spring Boot中集成Jasypt比较简单,直接引入如下依赖即可:

<dependency>
  <groupId>com.github.ulisesbocchio</groupId>
  <artifactId>jasypt-spring-boot-starter</artifactId>
  <version>3.0.4</version>
</dependency> 

此时,Jasypt组件自动配置便已经生效,只需要对需要加密的数据进行处理了。

为了方便对密码进行加密,还可以在pom.xml中的build元素中引入对应的plugin,这个后面会用到:

<plugin><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-maven-plugin</artifactId><version>3.0.4</version>
</plugin> 

至此,所有的准备工作已经完成。

内容加密

内容加密有多种方式,这里挑选两种方式进行介绍。

方式一:单元测试类生成密文;

构建如下单元测试类,使用默认实例化的StringEncryptor对密码进行加密:

@SpringBootTest
class SpringBootJasyptApplicationTests {
​@Autowiredprivate StringEncryptor stringEncryptor;
​@Testvoid contextLoads() {String qwerty1234 = stringEncryptor.encrypt("admin123");System.out.println(qwerty1234);}
} 

其中,”admin123“便是要加密的内容。执行上述程序,便可打印加密后的内容。这种形式加密的内容,全部采用默认值。

方式二:通过Maven插件生成密文

在上面已经引入了Jasypt的Maven插件,可通过对应的命令进行生成密码。

第一步:在配置文件中添加加密的密码:

jasypt.encryptor.password=afx11 

然后对配置文件中需要加密的数据进行改造,在数据前添加”DEC(“,在数据尾部加上")",修改完如下:

conf.password=DEC(admin123) 

这里添加的DEC()是告诉插件,此部分内容需要进行加密处理。注意这里关键字是DEC。

第二步:执行Maven命令,对上述数据进行加密处理

在命令执行以下命令:

mvn jasypt:encrypt -Djasypt.encryptor.password=afx11 

此时再看配置文件中的conf.password数据已经变为:

jasypt.encryptor.password=afx11
conf.url=127.0.0.1
conf.password=ENC(209eBdF3+jsV2f8kDjs4NOCzgBxnVgETlR5q2KfhYo5DW2jqvLknv0TndEkXOXm0) 

注意原来的DEC变成了ENC,原来的明文密码变成了加密的密文。

此时,如果想查看明文,执行以下命令即可:

mvn jasypt:decrypt -Djasypt.encryptor.password=afx11 

该命令不会修改配置文件中的密文为明文,只会在控制台进行明文结果的输出。

jasypt.encryptor.password=afx11
conf.url=127.0.0.1
conf.password=DEC(admin123) 

经过上述操作,所有改造步骤已经完成,只需启动系统进行验证即可。

密码的传递方式

完成上述步骤,直接启动系统,访问对应的请求,会发现已经能够成功打印出密码原文了。

上述实例中我们将加密的密码放在了application.properties文件中,这样并不安全,如果查看代码就知道如何解密了。通常,还可以采用另外一种形式来传递参数:在启动命令中传输密码。

比如:

 java -jar jasypt-spring-boot-demo-0.0.1-SNAPSHOT.jar --jasypt.encryptor.password=password 

这样,密码便不用存储在代码当中了,一定程度上增加了安全性。当然,也可以通过环境变量来进行传递,这样即便开发人员也无法获得生产的密码。

到此这篇关于Spring Boot加密配置文件方法介绍的文章就介绍到这了,更多相关Spring Boot加密配置文件内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

相关文章

  • JPA多条件复杂SQL动态分页查询功能

    JPA多条件复杂SQL动态分页查询功能

    这篇文章主要介绍了JPA多条件复杂SQL动态分页查询功能,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
    2019-09-09
  • 详解Java语言中的抽象类与继承

    详解Java语言中的抽象类与继承

    这篇文章主要为大家详细介绍了Java语言中的抽象类与继承的相关资料,文中的示例代码讲解详细,对我们学习Java有一定的帮助,感兴趣的小伙伴快跟随小编一起了解一下
    2022-10-10
  • 解决@FeignClient注入service失败问题

    解决@FeignClient注入service失败问题

    这篇文章主要介绍了解决@FeignClient注入service失败问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2022-03-03
  • 详解Java构建树结构的公共方法

    详解Java构建树结构的公共方法

    本文主要介绍了详解Java构建树结构的公共方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
    2023-04-04
  • 在拦截器中读取request参数,解决在controller中无法二次读取的问题

    在拦截器中读取request参数,解决在controller中无法二次读取的问题

    这篇文章主要介绍了在拦截器中读取request参数,解决在controller中无法二次读取的问题,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教
    2021-10-10
  • Java lambda 循环累加求和代码

    Java lambda 循环累加求和代码

    这篇文章主要介绍了Java lambda 循环累加求和代码,具有很的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2020-08-08
  • java实现简单注册选择所在城市

    java实现简单注册选择所在城市

    这篇文章主要为大家详细介绍了java实现简单注册选择所在城市的相关代码,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2016-04-04
  • Java 合并多个MP4视频文件

    Java 合并多个MP4视频文件

    这篇文章主要介绍了Java 合并多个MP4视频文件的方法,帮助大家利用Java处理视频,提高办公效率,感兴趣的朋友可以了解下
    2020-11-11
  • 详细解读Java编程中面向字符的输入流

    详细解读Java编程中面向字符的输入流

    这篇文章主要介绍了Java中面向字符的输入和输出流,是Java入门学习中的基础知识,需要的朋友可以参考下
    2015-10-10
  • 剑指Offer之Java算法习题精讲链表专项训练

    剑指Offer之Java算法习题精讲链表专项训练

    跟着思路走,之后从简单题入手,反复去看,做过之后可能会忘记,之后再做一次,记不住就反复做,反复寻求思路和规律,慢慢积累就会发现质的变化
    2022-03-03

最新评论