Quarkus中ConfigSourceInterceptor的加密配置實現

前言

加密配置是一個很常見的需求,在spring boot生態中,已經有非常多的第三方starter實現瞭,博主所在公司也有這種強制要求,一些敏感配置信息必須加密,比如第三方賬號,數據庫密碼等等。所以研究瞭下怎麼在Quarkus中實現類似的配置加密功能。在前文 Quarkus集成apollo配置中心 中,已經有介紹過Quarkus中的配置架構瞭,配置加密功能也是基於smallrye-config來實現。

Eclipse MicroProfile Config:https://github.com/eclipse/microprofile-config/

smallrye-config:https://github.com/smallrye/smallrye-config

配置攔截器 ConfigSourceInterceptor

在實現功能前,先看下smallrye-config1.8版本新增的配置攔截器功能。ConfigSourceInterceptor攔截器定義如下:

public interface ConfigSourceInterceptor extends Serializable {
    ConfigValue getValue(ConfigSourceInterceptorContext context, String name);
  //省略、、、
}

實現這個接口,可以在配置加載的時候通過context拿到當前配置的值,然後進行任意邏輯操作。

攔截器是通過java.util.ServiceLoader機制加載的,可以通過提供名為io.smallrye.config.ConfigSourceInterceptor的文件進行註冊,該資源META-INF/services/io.smallrye.config.ConfigSourceInterceptor包含完全限定的ConfigSourceInterceptor實現類名稱作為其內容。

前文 Quarkus集成apollo配置中心 中,我們已瞭解Quarkus的配置基於Eclipse MicroProfile Config的規范和smallrye-config的實現,但是ConfigSourceInterceptor的接口設計卻沒有包含在MicroProfile Config的配置規范中,smallrye團隊正在努力參與規范的制定,所以後期這個接口很有可能會遷移到 MicroProfile Config包中,不過目前來看,你可以放心的使用smallrye-config1.8版本體驗配置攔截器功能

內置的實現

smallrye-config內置瞭如下配置攔截器實現:

RelocateConfigSourceInterceptor

ProfileConfigSourceInterceptor

ExpressionConfigSourceInterceptor

FallbackConfigSourceInterceptor

LoggingConfigSourceInterceptor

SecretKeyConfigSourceInterceptor

默認情況下,並非每個攔截器都已註冊。隻有ProfileConfigSourceInterceptor, ExpressionConfigSourceInterceptor、SecretKeyConfigSourceInterceptor默認已註冊。

其他攔截器需要通過ServiceLoader機制進行手動註冊。配置中的${}表達式功能正是ExpressionConfigSourceInterceptor來實現的

加密配置實現

基於ConfigSourceInterceptor的機制,實現一個加密的攔截器,在配置時,標記需要被解密的配置,在應用啟動時,攔截配置加載,做解密處理即可。這裡使用瞭AES加解密算法,將aesKey配置在配置文件中,將vi向量直接寫死在代碼裡,這樣,即使別人拿到瞭你的完整配置,不知道vi向量值,也無法解密。

ConfigSourceInterceptor實現類可以通過標準javax.annotation.Priority 註釋指定優先級。如果未明確指定優先級,則采用io.smallrye.config.Priorities.APPLICATION默認優先級值 。指定優先級時,value值越小,優先級越高,這裡指定為PLATFORM早期攔截,代碼如下:

/**
 * 1、使用方式為 正常配置值的前面拼接Encrypt=>字符串,如
 * quarkus.datasource.password = Encrypt=>xxxx
 * 2、配置解密的aeskey值,如
 * config.encrypt.aeskey = 11111111111111111
 *
 * @author kl : http://kailing.pub
 * @version 1.0
 * @date 2020/7/10 9:46
 */
//value 值越低優先級越高
@Priority(value = Priorities.PLATFORM)
public class EncryptConfigInterceptor implements ConfigSourceInterceptor {
    private static final String CONFIG_ENCRYPT_KEY = "config.encrypt.aeskey";
    private static final int AES_KEY_LENGTH = 16;
    /**
     * 需要加密值的前綴標記
     */
    private static final String ENCRYPT_PREFIX_NAME = "Encrypt=>";
    /**
     * AES加密模式
     */
    private static final String AES_MODE = "AES/CBC/PKCS5Padding";
    /**
     * AES的iv向量值
     */
    private static final String AES_IV = "1234567890123456";
    @Override
    public ConfigValue getValue(ConfigSourceInterceptorContext context, String name) {
        ConfigValue config = context.proceed(name);
        if (config != null && config.getValue().startsWith(ENCRYPT_PREFIX_NAME)) {
            String encryptValue = config.getValue().replace(ENCRYPT_PREFIX_NAME, "");
            String aesKey = context.proceed(CONFIG_ENCRYPT_KEY).getValue();
            String value = AesEncyptUtil.decrypt(encryptValue, aesKey);
            return config.withValue(value);
        }
        return config;
    }
    public static void main(String[] args) {
        System.out.println("加密後的配置:"+ AesEncyptUtil.encrypt("office#123", "1111111111111111"));
    }
   static class AesEncyptUtil{
       public static Cipher getCipher(int mode, String key) {
           if (key == null || key.length() != AES_KEY_LENGTH) {
               throw new RuntimeException("config.encrypt.key不能為空,且長度為16位");
           }
           SecretKeySpec skeySpec = new SecretKeySpec(key.getBytes(), "AES");
           //使用CBC模式,需要一個向量iv,可增加加密算法的強度
           IvParameterSpec iv = new IvParameterSpec(AES_IV.getBytes());
           Cipher cipher = null;
           try {
               cipher = Cipher.getInstance(AES_MODE);
               cipher.init(mode, skeySpec, iv);
           } catch (InvalidKeyException | InvalidAlgorithmParameterException | NoSuchPaddingException | NoSuchAlgorithmException e) {
               e.printStackTrace();
           }
           return cipher;
       }
       /**
        * AES加密函數
        * @param plaintext 被加密的字符串
        * @param key       AES key
        * @return 加密後的值
        */
       public static String encrypt(final Object plaintext, String key) {
           if (null == plaintext) {
               return null;
           }
           byte[] encrypted = new byte[0];
           try {
               Cipher encryptCipher = getCipher(Cipher.ENCRYPT_MODE, key);
               encrypted = encryptCipher.doFinal(String.valueOf(plaintext).getBytes(StandardCharsets.UTF_8));
           } catch (IllegalBlockSizeException | BadPaddingException e) {
               e.printStackTrace();
           }
           //此處使用BASE64做轉碼。
           return Base64.getEncoder().encodeToString(encrypted);
       }
       /**
        * AES 解密函數
        *
        * @param ciphertext 被解密的字符串
        * @param key        AES key
        * @return 解密後的值
        */
       public static String decrypt(final String ciphertext, String key) {
           if (null == ciphertext) {
               return null;
           }
           try {
               Cipher decryptCipher = getCipher(Cipher.DECRYPT_MODE, key);
               //先用base64解密
               byte[] encrypted1 = Base64.getDecoder().decode(ciphertext);
               byte[] original = decryptCipher.doFinal(encrypted1);
               return new String(original, StandardCharsets.UTF_8);
           } catch (Exception ex) {
               ex.printStackTrace();
               return null;
           }
       }
   }
}

記得將完整的類名寫入到META-INF/services/io.smallrye.config.ConfigSourceInterceptor這個文件中。使用時先配置好加密的key,在application.properties中添加如下配置:

config.encrypt.aeskey = xxxxxxxxxxxxxx

配置值一定要16位,然後將需要加密的值,使用AesEncyptUtil.encrypt(final Object plaintext, String key)方法先得到加密的值,然後做如下配置,以數據庫密碼為例:

quarkus.datasource.username=mobile_office
quarkus.datasource.password=Encrypt=>/8wYwbxokEleEZzT4niJew==

使用Encrypt=>標記瞭這個值是加密的,應用程序加載時會被攔截到,然後做解密處理

結語

總的來說,Quarkus中使用的一些api設計是非常優秀的的,通過預留的這種擴展機制,可以非常輕松的實現擴展功能。

以上就是Quarkus中ConfigSourceInterceptor的加密配置實現的詳細內容,更多關於Quarkus中ConfigSourceInterceptor加密的資料請關註WalkonNet其它相關文章!

推薦閱讀: