一占遥、穿上衣服停止裸奔
我們?cè)赟pringBoot項(xiàng)目中的yml或者properties配置文件中都是明文的俯抖,如果mysql數(shù)據(jù)庫(kù)賬號(hào)、密碼也寫(xiě)成明文安全性就比較低瓦胎,明文的密碼就像在裸奔芬萍,因此有必要穿上衣服才能愉快地奔跑尤揣。我們采用Jasypt框架對(duì)MySQL數(shù)據(jù)庫(kù)賬號(hào)和密碼進(jìn)行加密。
二柬祠、使用Jasypt進(jìn)行加密
2.1 添加Jasypt依賴
compile group: 'com.github.ulisesbocchio', name: 'jasypt-spring-boot-starter', version: '2.1.1'
2.2 將數(shù)據(jù)庫(kù)的用戶名和密碼進(jìn)行加密
public class JasyptTest {
public static void main(String[] args) {
BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
//加密所需的salt(鹽),自定義
textEncryptor.setPassword("retail_salt");
//要加密的數(shù)據(jù)(數(shù)據(jù)庫(kù)的用戶名或密碼)
String username = textEncryptor.encrypt("retail_u");
String password = textEncryptor.encrypt("retail_PWD_123");
System.out.println("username:"+username);
System.out.println("password:"+password);
}
}
得到加密字符串
username:5raHicqGiQ1nEXKO+R9ykYwJUrD/+nbx
password:1NiRLG1lUkzLSg3uerUwU0bIRCDYiZnX
注:每次運(yùn)行得到的加密字符串是不一樣的
2.3 配置application-test.yml文件
spring:
########-spring datasource-########
datasource:
#賬號(hào)配置
url: jdbc:mysql://127.0.0.1:3306/retail_db?useUnicode=true&characterEncoding=utf8&serverTimezone=GMT%2B8
username: ENC(5raHicqGiQ1nEXKO+R9ykYwJUrD/+nbx)
password: ENC(1NiRLG1lUkzLSg3uerUwU0bIRCDYiZnX)
driver-class-name: com.mysql.cj.jdbc.Driver
########-jasypt數(shù)據(jù)庫(kù)用戶名北戏、密碼加密salt-########
jasypt:
encryptor:
password: retail_salt #加密時(shí)的salt值
2.4 完成配置,啟動(dòng)服務(wù)
到此已經(jīng)完成Jasypt對(duì)數(shù)據(jù)庫(kù)用戶名漫蛔、密碼的加密
三嗜愈、處理salt寫(xiě)在配置文件里泄露的問(wèn)題
我們已經(jīng)用Jasypt對(duì)數(shù)據(jù)庫(kù)用戶名、密碼的加密莽龟,但salt值又配置在application-test.yml蠕嫁,知道了salt值反過(guò)來(lái)又可以對(duì)加密字符串進(jìn)行解密, 如:
BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
//加密所需的salt(鹽),自定義
textEncryptor.setPassword("retail_salt");
//解密
String decrypt = textEncryptor.decrypt("5raHicqGiQ1nEXKO+R9ykYwJUrD/+nbx");
System.out.println("username decrypt:"+decrypt);
// 可解密得到 retail_u
而且網(wǎng)上很多文章卻到此為止毯盈,宛如從裸奔“進(jìn)化”到了皇帝的新裝剃毒,自欺欺人而已。網(wǎng)上大部分提供的是處理jar的方法搂赋,具體可以參考使用Jasypt對(duì)SpringBoot配置文件加密
以下我將提供處理war包的方法赘阀。
3.1 將jasypt. encryptor. password配置從配置文件中移除
即,將這段配置從application-test.yml移除,隨后jasypt. encryptor. password的值我們將從外部配置文件中讀取
########-jasypt數(shù)據(jù)庫(kù)用戶名厂镇、密碼加密salt-########
jasypt:
encryptor:
password: retail_salt #加密時(shí)的salt值
3.2 新建一個(gè)名為jasypt.properties的文件纤壁,里面內(nèi)容為
jasypt.encryptor.password=retail_salt
并將該文件放在本地/Users/ac/jasypt.properties (我的Mac開(kāi)發(fā)環(huán)境)
3.3 新建一個(gè)Java類LocalSettingsEnvironmentPostProcessor
import org.springframework.boot.SpringApplication;
import org.springframework.boot.env.EnvironmentPostProcessor;
import org.springframework.core.env.ConfigurableEnvironment;
import org.springframework.core.env.MutablePropertySources;
import org.springframework.core.env.PropertiesPropertySource;
import org.springframework.core.io.FileSystemResource;
import org.springframework.core.io.support.PropertiesLoaderUtils;
import java.io.File;
import java.io.IOException;
import java.util.Properties;
/**
* @author AlanChen
* @description 讀取本地配置文件jasypt加密salt值
* @date 2019/5/23
*/
public class LocalSettingsEnvironmentPostProcessor implements EnvironmentPostProcessor{
/**
* 第一個(gè)配置文件路徑為部署環(huán)境路徑,用于部署環(huán)境加載配置文件里的值
* 第二個(gè)配置文件路徑為本地打包環(huán)境路徑捺信,解決打包時(shí)報(bào)錯(cuò)問(wèn)題
*/
private static final String LOCATIONS [] = {"/opt/tomcat8/webapps/jasypt.properties","/Users/ac/jasypt.properties"};
@Override
public void postProcessEnvironment(ConfigurableEnvironment configurableEnvironment, SpringApplication springApplication) {
for(String fileLocation : LOCATIONS){
File file = new File(fileLocation);
if (file.exists()) {
MutablePropertySources propertySources = configurableEnvironment.getPropertySources();
Properties properties = loadProperties(file);
propertySources.addFirst(new PropertiesPropertySource("Config", properties));
return ;
}
}
}
private Properties loadProperties(File f) {
FileSystemResource resource = new FileSystemResource(f);
try {
return PropertiesLoaderUtils.loadProperties(resource);
}
catch (IOException ex) {
throw new IllegalStateException("Failed to load local settings from " + f.getAbsolutePath(), ex);
}
}
}
這個(gè)java類的作用就是根據(jù)指定的配置文件路徑酌媒,讀取文件,添加到程序運(yùn)行的環(huán)境中迄靠。
3.4 創(chuàng)建一個(gè)spring.factories的文件
然后在你的resources文件夾下創(chuàng)建一個(gè)文件夾名為META-INF秒咨,在里面創(chuàng)建一個(gè)spring.factories的文件,文件內(nèi)容如下:
org.springframework.boot.env.EnvironmentPostProcessor=com.netelis.retail.common.config.jasypt.LocalSettingsEnvironmentPostProcessor
這個(gè)文件的作用就是設(shè)置SpringBoot服務(wù)啟動(dòng)的時(shí)候調(diào)用我們剛才寫(xiě)的那個(gè)Java類掌挚。
至此雨席,你的war包在使用tomcat啟動(dòng)的時(shí)候就應(yīng)該可以讀取制定位置的外部文件了。我的文件結(jié)構(gòu)如下吠式,僅供參考
3.5 打war部署測(cè)試
gradle build
3.5 本地開(kāi)發(fā)陡厘,啟動(dòng)idea
啟動(dòng)idea也正常
參考文章:
使用Jasypt對(duì)SpringBoot配置文件加密
SpringBoot 打包為war包啟動(dòng)時(shí)導(dǎo)入外部配置文件
最后給大家送波福利
