SpringBoot 项目经常将连接数据库的密码明文放在配置文件里,安全性就比较低,尤其一些企业对安全性要求很高,因此我们就考虑如何对密码等敏感信息进行加密。
通过 Jasypt 对密码等敏感信息进行加密。Jasypt 是一个简单易用的加解密 Java 库,可以快速的集成到 Spring 和 SpringBoot 项目中,并提供了自动配置,使用非常简单。
下面以 SpringBoot、MySQL、Mybatis 来演示 Jasypt 库的集成。
<dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.3</version> </dependency>
jasypt: encryptor: # 加密的盐值,为了安全,该配置可以放在启动参数或者命令行参数中 password: fa7bd4edd42448aea8c9484fbce6e8cd # 加密所采用的算法 algorithm: PBEWITHHMACSHA512ANDAES_256
方案一:采用单元测试生成加密后的密钥;
package com.xiaoqqya.controller; import org.jasypt.encryption.StringEncryptor; import org.junit.jupiter.api.Test; import org.springframework.boot.test.context.SpringBootTest; import javax.annotation.Resource; import java.util.UUID; /** * Description. * * @author <a href="mailto:xiaoQQya@126.com">xiaoQQya</a> * @version 1.0 * @date 2021/04/20 * @since 1.8 */ @SpringBootTest(classes = com.xiaoqqya.JasyptDemoApplication.class) public class Demo { @Resource StringEncryptor encryptor; @Test public void encrypt() { String url = encryptor.encrypt("jdbc:mysql://ubuntu:3306/jasypt?useUnicode=true&characterEncoding=utf8&serverTimezone=UTC"); String username = encryptor.encrypt("root"); String pwd = encryptor.encrypt("password"); System.out.println("url = " + url); System.out.println("username = " + username); System.out.println("pwd = " + pwd); } }
方案二:采用命令行生成加密后的密钥;
# 在 Maven 仓库中找到 jasypt-1.9.3.jar 包 $ cd C:\Users\Joey\.m2\repository\org\jasypt\jasypt\1.9.3 # input 为明文密码,password 为加密盐值,algorithm为算法 $ java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password="fa7bd4edd42448aea8c9484fbce6e8cd"
ENC() 为固定格式,() 里面为加密后的密钥。
spring: datasource: url: ENC(RSSEciOYx39dlPxCWeP46RZG1wkgtuPMgaZu2XgnrPluvHcAIzIEW79K1j9WIWLVHPbBpb6t1ehiiTiQGnzR1CFvrFm16bE0koyh/8exbh1ulYkfaSdBOivNHIF6CSxPy54vmxn3LaXug6ZYxfNBymQINbRa2fsXxlHT+TgvKqs=) username: ENC(YkJGWv80AEpPREn3Rt2Ic6BzzO+v+3m5Uy/r33pz4ZbZbD3vhi7vJz9nwGHKg8+n) password: ENC(4lEHAy//ExXjJxN9WQgyqgAjSkzIJ3irTYTYG8so6HgZWxPRl6Pa8tCUK/qmXSYb) driver-class-name: com.mysql.cj.jdbc.Driver
# 将盐值放在启动参数中 $ java -jar target/jasypt-demo-0.0.1-SNAPSHOT.jar --jasypt.encryptor.password=fa7bd4edd42448aea8c9484fbce6e8cd # 将盐值放在命令行参数中 $ java -Djasypt.encryptor.password=fa7bd4edd42448aea8c9484fbce6e8cd -jar target/jasypt-demo-0.0.1-SNAPSHOT.jar # 也可以将盐值放在系统环境变量中,此处不再展示