使用Springboot對配置文件中的敏感信息加密

Posted on by

Springboot對配置文件的敏感信息加密

前言

最近公司對軟件的安全問題比較在意,要求對配置文件中的敏感信息如數據庫密碼等進行加密。但是Springboot是一款高度集成的框架,如果僅僅是簡單的對數據庫密碼進行加密瞭,由於連接數據庫的操作是框架自己完成的,這就會造成不小的麻煩。

經過調研,找到瞭如下方式還比較方便。

項目配置

該項目用到瞭jasypt庫。原理很簡單,通過該庫提供的方法進行敏感信息加密,生成密文xxxxx,然後將密文使用ENC()包裹起來。

添加依賴

<!-- jasypt場景啟動器依賴 -->
<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.1.0</version>
</dependency>

修改明文密碼

配置文件中密碼將原來的明文密碼改為ENC(密文密碼)的樣子,如下:

# 原MySQL密碼,刪掉不用
#spring.datasource.password=xxxx
# 加密後的MySQL密碼
spring.datasource.password=ENC(BSYVaS0K9UEIIZACPLduGUumokOpB44c==)
# 如果是其他需要加密的密碼,比如es密碼es123456
es.password=ENC(xxxxxxx)
# 加密密碼所需要的鹽(隨便寫)。為瞭更加安全,這一行配置不要寫在配置文件中,可以寫在啟動參數中
jasypt.encryptor.password=nmyswls
# 指定使用的算法
# 可選算法有:PBEWITHHMACSHA512ANDAES_256、PBEWITHHMACSHA512ANDAES_128、PBEWithMD5AndDES
jasypt.encryptor.algorithm=PBEWithMD5AndDES

生成加密字符串

加密過程中需要使用到鹽,鹽的設置不要太隨意,因為原則上鹽不能存儲又不能忘記,所以盡量遵循一定的命名規則,供內部人員依據規則判斷鹽是什麼。

# 其中下面運行的jar包為上面maven依賴中所指定的jar包,input參數為需要加密的字符串,password參數為加密所需的鹽。 java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input=”str” password=”salt” algorithm=PBEWithMD5AndDES

上述jar包可以從maven中央倉庫中下載。

註意事項

由於該方法是對稱加密方式,因此系統在解密的時候同樣需要此鹽,但是鹽一定不能對外暴露。因此在第二步配置文件中並沒有配置解密所需的鹽,而是改用在系統啟動時通過命令行傳參的方式傳入。

總結一下

  • 本方案依賴jasypt庫,可以對配置文件中任意字符串進行加密,不僅僅局限於密碼,更不僅僅局限於mysql密碼。
  • 由於采用對稱加密算法,如果泄露瞭加密需要的鹽(上文提到的jasypt.encryptor.password參數),很容易對密碼進行解密。因此加密用的鹽需要寫在配置文件外面,啟動參數中。

springboot使用加密的配置屬性

依賴:

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>1.16</version>
</dependency>

1、加密屬性配置

在application.properties或者相應的proffile的properties文件

其中

jasypt.encryptor.password = klklklklklklklkl 是加解密的鹽

enc是加密變量使用的特殊符號.

2、也可以把這些配置

到apollo中如果使用瞭apollo配置中心

代碼執行的效果

參考:

https://github.com/ulisesbocchio/jasypt-spring-boot

https://github.com/ctripcorp/apollo-use-cases/tree/master/spring-boot-encrypt

本文目的是說明這個是springboot支持的 既支持普通boot項目 也可以用於apollo配置中心

以上為個人經驗,希望能給大傢一個參考,也希望大傢多多支持WalkonNet。

推薦閱讀: