使用Springboot對配置文件中的敏感信息加密
Springboot對配置文件的敏感信息加密
前言
最近公司對軟件的安全問題比較在意,要求對配置文件中的敏感信息如數據庫密碼等進行加密。但是Springboot是一款高度集成的框架,如果僅僅是簡單的對數據庫密碼進行加密瞭,由於連接數據庫的操作是框架自己完成的,這就會造成不小的麻煩。
經過調研,找到瞭如下方式還比較方便。
項目配置
該項目用到瞭jasypt庫。原理很簡單,通過該庫提供的方法進行敏感信息加密,生成密文xxxxx,然後將密文使用ENC()包裹起來。
添加依賴
<!-- jasypt場景啟動器依賴 --> <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>2.1.0</version> </dependency>
修改明文密碼
配置文件中密碼將原來的明文密碼改為ENC(密文密碼)的樣子,如下:
# 原MySQL密碼,刪掉不用 #spring.datasource.password=xxxx # 加密後的MySQL密碼 spring.datasource.password=ENC(BSYVaS0K9UEIIZACPLduGUumokOpB44c==) # 如果是其他需要加密的密碼,比如es密碼es123456 es.password=ENC(xxxxxxx) # 加密密碼所需要的鹽(隨便寫)。為瞭更加安全,這一行配置不要寫在配置文件中,可以寫在啟動參數中 jasypt.encryptor.password=nmyswls # 指定使用的算法 # 可選算法有:PBEWITHHMACSHA512ANDAES_256、PBEWITHHMACSHA512ANDAES_128、PBEWithMD5AndDES jasypt.encryptor.algorithm=PBEWithMD5AndDES
生成加密字符串
加密過程中需要使用到鹽,鹽的設置不要太隨意,因為原則上鹽不能存儲又不能忘記,所以盡量遵循一定的命名規則,供內部人員依據規則判斷鹽是什麼。
# 其中下面運行的jar包為上面maven依賴中所指定的jar包,input參數為需要加密的字符串,password參數為加密所需的鹽。 java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input=”str” password=”salt” algorithm=PBEWithMD5AndDES
上述jar包可以從maven中央倉庫中下載。
註意事項
由於該方法是對稱加密方式,因此系統在解密的時候同樣需要此鹽,但是鹽一定不能對外暴露。因此在第二步配置文件中並沒有配置解密所需的鹽,而是改用在系統啟動時通過命令行傳參的方式傳入。
總結一下
- 本方案依賴jasypt庫,可以對配置文件中任意字符串進行加密,不僅僅局限於密碼,更不僅僅局限於mysql密碼。
- 由於采用對稱加密算法,如果泄露瞭加密需要的鹽(上文提到的jasypt.encryptor.password參數),很容易對密碼進行解密。因此加密用的鹽需要寫在配置文件外面,啟動參數中。
springboot使用加密的配置屬性
依賴:
<dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>1.16</version> </dependency>
1、加密屬性配置
在application.properties或者相應的proffile的properties文件
其中
jasypt.encryptor.password = klklklklklklklkl 是加解密的鹽
enc是加密變量使用的特殊符號.
2、也可以把這些配置
到apollo中如果使用瞭apollo配置中心
代碼執行的效果
參考:
https://github.com/ulisesbocchio/jasypt-spring-boot
https://github.com/ctripcorp/apollo-use-cases/tree/master/spring-boot-encrypt
本文目的是說明這個是springboot支持的 既支持普通boot項目 也可以用於apollo配置中心
以上為個人經驗,希望能給大傢一個參考,也希望大傢多多支持WalkonNet。
推薦閱讀:
- springboot對數據庫密碼加密的實現
- Spring Boot配置內容加密實現敏感信息保護
- springboot 項目使用jasypt加密數據源的方法
- 如何給yml配置文件的密碼加密(SpringBoot)
- spring boot項目application.properties文件存放及使用介紹