文档章节

SpringBoot | 第三十七章:集成Jasypt实现配置项加密

oKong
 oKong
发布于 05/08 23:02
字数 1450
阅读 182
收藏 9

前言

近期在进行项目安全方面评审时,质量管理部门有提出需要对配置文件中的敏高文件进行加密处理,避免了信息泄露问题。想想前段时间某公司上传github时,把相应的生产数据库明文密码也一并上传了,导致了相应的数据泄露问题。也确实,大部分项目无论开发、测试还是生产环境,相关的敏高信息都是明文存储的,也是一大安全隐患呀。所以今天来说说,如何对配置文件进行加密操作。

一点知识

何为Jasypt

Jasypt是一个Java库,允许开发人员以很简单的方式添加基本加密功能,而无需深入研究加密原理。利用它可以实现高安全性的,基于标准的加密技术,无论是单向和双向加密。加密密码,文本,数字,二进制文件。

  1. 高安全性的,基于标准的加密技术,无论是单向和双向加密。加密密码,文本,数字,二进制文件...
  2. 集成Hibernate的。
  3. 可集成到Spring应用程序中,与Spring Security集成。
  4. 集成的能力,用于加密的应用程序(即数据源)的配置。
  5. 特定功能的高性能加密的multi-processor/multi-core系统。
  6. 与任何JCE提供者使用开放的API

官网:http://www.jasypt.org/

SpringBoot集成Jasypt

SpringBoot中集成Jasypt,可直接使用开源的jasypt-spring-boot直接集成,使用简单方便。

mark

常规集成示例

0.引入pom依赖

	    <dependency>
	        <groupId>com.github.ulisesbocchio</groupId>
	        <artifactId>jasypt-spring-boot-starter</artifactId>
	        <version>1.18</version>
	    </dependency>

1.设置盐值和修改相应需要加密的配置参数

# 需要解密的地方,使用ENC()进行包裹处理
okong.name=ENC(Xj7Ykn2O0Hni/tN4oojPfw==)

# 设置盐值,生产环境中,切记不要直接进行设置,可通过环境变量、命令行等形式进行设置。
jasypt.encryptor.password=lqdev

简单来说,就是在需要加密的值使用ENC()进行包裹,即:ENC(密文)。若想避免参数冲突,可修改前缀和后缀,可以直接使用jasypt.encryptor.property.prefixjasypt.encryptor.property.suffix进行修改即可。

之后想往常一样使用@Value("${}")即可。

包含xml引入时

在一些使用javaBean配置和xml两种混合模式时,使用第一种配置时,xml参数并未替换。此时看了官方文档,可以使用另一方式进行配置即可。

官方说明

0.引入pom依赖

	    <dependency>
	        <groupId>com.github.ulisesbocchio</groupId>
	        <artifactId>jasypt-spring-boot</artifactId>
	        <version>1.18</version>
	    </dependency>

其实就是不进行自动配置而已。

1.启动类启动方式修改。

@SpringBootApplication
@Slf4j
public class JasyptApplication {
	
	public static void main(String[] args) throws Exception {

//		SpringApplication.run(JasyptApplication.class, args);
		//使用自定义环境变量 实现一些特殊场景下的加密字符解密操作
		//若无额外的xml引入文件需要解密时,可直接使用SpringApplication.run(JasyptApplication.class, args);即可
		//若想在引入的xml中使用,需要加入环境变量,如以下模式
		new SpringApplicationBuilder().environment(new StandardEncryptableEnvironment())
		.sources(JasyptApplication.class).run(args);
		log.info("spring-boot-jasypt-chapter37服务启动!");
	}
}

其他配置项

Key Required Default Value
jasypt.encryptor.password True 盐值,根密码
jasypt.encryptor.algorithm False PBEWithMD5AndDES
jasypt.encryptor.keyObtentionIterations False 1000
jasypt.encryptor.poolSize False 1
jasypt.encryptor.providerName False SunJCE
jasypt.encryptor.providerClassName False null
jasypt.encryptor.saltGeneratorClassname False org.jasypt.salt.RandomSaltGenerator
jasypt.encryptor.ivGeneratorClassname False org.jasypt.salt.NoOpIVGenerator
jasypt.encryptor.stringOutputType False base64
jasypt.encryptor.proxyPropertySources False false

运维说明

为了方便运维人员对各类敏感密钥进行加密操作,提供了自动化脚本,方便生成相应的加密串。

密钥(盐值)存储说明

本身加解密过程都是通过盐值进行处理的,所以正常情况下盐值加密串是分开存储的。盐值应该放在系统属性命令行或是环境变量来使用,而不是放在配置文件。

命令行示例

java -jar xxx.jar --jasypt.encryptor.password=xxx &

环境变量示例

设置环境变量:

# 打开/etc/profile文件
vim /etc/profile
# 文件末尾插入
export JASYPT_PASSWORD = xxxx

启动命令:

java -jar xxx.jar --jasypt.encryptor.password=${JASYPT_PASSWORD} &

bat脚本

为了方便,简单编写了一个bat脚本方便使用。

 @echo off
 set/p input=待加密的明文字符串:
 set/p password=加密密钥(盐值):
 echo 加密中......
 java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI  input=%input% password=%password% algorithm=PBEWithMD5AndDES
 pause

注意:jasypt-1.9.2.jar 文件需要和bat脚本放在相同目录下。此包可直接在示例项目中直接下载。

使用示例:

注意:相应加密串,每次加密的结果是不同的。

使用示例

参考资料

  1. https://github.com/ulisesbocchio/jasypt-spring-boot

  2. http://www.jasypt.org/

总结

本章节主要简单介绍了如何使用jasypt对配置文件进行加密操作。一些其他高级应用,可以查看官方文档进行相关集成即可。集成起来相对来说比较简单,注意是要对密码(盐值)的管理,需要进行安全把控下,建议运维人员针对每个项目进行不一样的盐值操作,避免一个项目泄露了,造成其他关联项的信息泄露。安全无大小呀,还是谨慎为妙!

最后

目前互联网上很多大佬都有SpringBoot系列教程,如有雷同,请多多包涵了。原创不易,码字不易,还希望大家多多支持。若文中有所错误之处,还望提出,谢谢。

老生常谈

  • 个人QQ:499452441
  • 微信公众号:lqdevOps

公众号

个人博客:http://blog.lqdev.cn

完整示例:https://github.com/xie19900123/spring-boot-learning/tree/master/chapter-37

原文地址:https://blog.lqdev.cn/2019/05/08/springboot/chapter-thirty-seven/

© 著作权归作者所有

oKong
粉丝 614
博文 65
码字总数 157893
作品 0
福州
高级程序员
私信 提问
恒宇少年/spring-boot-chapter

简书整套文档以及源码解析 专题 专题名称 专题描述 001 Spring Boot 核心技术 讲解SpringBoot一些企业级层面的核心组件 002 Spring Cloud 核心技术 对Spring Cloud核心技术全面讲解 003 Quer...

恒宇少年
2018/04/19
0
0
Get史上最优雅的加密方式!没有之一!

原文出处:https://mp.weixin.qq.com/s/gDhsaKg2jXfmUOW6ixTLg 你的配置文件是不是还在使用下面这种落后的配置暴露一些密码: 如果是,那么继续往下看。笔者今天介绍史上最优雅加密接入方式:...

飞哥-Javaer
2018/09/14
0
0
spring和springboot中加密连接数据库的信息

前言: 在实际开发中,一些关键的信息肯定是要加密的,否则就太不安全了。比如连接数据库的用户名和密码,一般就需要加密。接下来就看看spring项目和spring boot项目中分别是如何加密这些信息...

贪挽懒月
2018/07/07
0
0
第五十二章:基于SpringBoot2使用Rest访问MongoDB数据

在之前项目中我们想要读取内的内容需要使用来完成数据的,那如果我们想要通过的形式获取内的数据就更麻烦了,还需要自行去创建对应的控制器,然后使用从内读取出数据后返回给前端。 在上一章...

恒宇少年
2018/04/22
0
0
学习 Spring Boot 知识看这一篇就够了

从2016年因为工作原因开始研究 Spring Boot ,先后写了很多关于 Spring Boot 的文章,发表在技术社区、我的博客和我的公号内。粗略的统计了一下总共的文章加起来大概有六十多篇了,其中一部分...

ityouknow
2018/05/28
0
0

没有更多内容

加载失败,请刷新页面

加载更多

还为PDF转Word抓狂?以下神器让你在职场倍受欢迎!

身在职场的你,是否一直在琢磨:如何能让自己在公司更受欢迎?如何才能在办公室里混个好人缘?如何在同事圈里留个好印象?其实,想要让自己成为受欢迎的人,只要让自己成为大家需要的人不就行...

foxit2world
26分钟前
7
0
AndServer+Service打造Android服务器实现so文件调用

so 文件调用 随着 Android 移动安全的高速发展,不管是为了执行效率还是程序的安全性等,关键代码下沉 native 层已成为基本操作。 native 层的开发就是通指的 JNI/NDK 开发,通过 JNI 可以实...

夜幕NightTeam
28分钟前
4
0
Docker下kafka学习三部曲之二:本地环境搭建

在上一章《 Docker下kafka学习,三部曲之一:极速体验kafka》中我们快速体验了kafka的消息分发和订阅功能,但是对环境搭建的印象仅仅是执行了几个命令和脚本,本章我们通过实战来学习如何编写...

程序员欣宸
28分钟前
4
0
萌新推荐!不再为Excel转换PDF发愁,Aspose.Cells for .NET一步到位!

Aspose.Cells for .NET(点击下载)是Excel电子表格编程API,可加快电子表格管理和处理任务,支持构建具有生成,修改,转换,呈现和打印电子表格功能的跨平台应用程序。 将Excel工作簿转换为...

mnrssj
29分钟前
6
0
对于绘画小白怎么画制服?该注意什么?

怎样制作学生服装?想必绘画初学者们常常会想的问题吧,不知道怎样才能画好人物的衣服,别着急,今日就在这儿讲一些关于如何绘画学生衣服校服的教程给我们!期望能够帮到你们! 轻便西装是不...

热爱画画的我
34分钟前
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部