转载

SpringBoot使用jasypt加解密密码

在我们的服务中不可避免的需要使用到一些秘钥(数据库、redis等);使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。打开application.properties或application.yml,比如mysql登陆密码,redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。
开发和测试环境还好,但生产如果采用明文配置讲会有安全问题,jasypt是一个通用的加解密库,我们可以使用它。
<dependency>
 <groupId>com.github.ulisesbocchio</groupId>
 <artifactId>jasypt-spring-boot-starter</artifactId>
 <version>2.1.1</version>
</dependency>
配置文件:
# 加密的密钥
# 测试环境可以采用在配置文件中配置
# 生产环境建议采用启动参数的形式传入
# 其他配置参数参考:com.ulisesbocchio.jasyptspringboot.properties.JasyptEncryptorConfigurationProperties
jasypt.encryptor.password=you salt
# 解密得到原始密码spring.datasource.password= ENC(密文)
那密文怎么来的呢?
@Autowired
StringEncryptor stringEncryptor;

@Test
public void encrypt() {
 System.out.println("PWD: " + stringEncryptor.encrypt("yourpassword"));
}
public static void main(String[] args) {
 BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
 //加密所需的salt(盐)
 textEncryptor.setPassword("G0CvDz7oJn6");
 //要加密的数据(数据库的用户名或密码)
 String username = textEncryptor.encrypt("root");
 String password = textEncryptor.encrypt("root123");
 System.out.println("username:"+username);
 System.out.println("password:"+password);
 }
jasypt默认使用StringEncryptor来进行加解密,我们也可以自定义自己的加解密类来替换它。 再来详细介绍一下: jasypt由一个国外大神写的一个springboot下的工具包。Git地址:https://github.com/ulisesbocchio/jasypt-spring-boot 直接上代码: 1、pom文件中增加依赖:
<dependency>
 <groupId>com.github.ulisesbocchio</groupId>
 <artifactId>jasypt-spring-boot-starter</artifactId>
 <version>2.1.1</version>
</dependency>
2、application.yml文件中增加jasypt的秘钥(该秘钥自定义的):
jasypt:
 encryptor:
 #加密秘钥
 password: EbfYkitulv73I2p0mXI50JMXoaxZTKJ7
3、测试类:
@RestController
public class IndexController {

 @Autowired
 private StringEncryptor encryptor;

 /**
 * 测试jasypt加密解密
 */
 @GetMapping("/jasypt")
 public void testJasypt() {
 String password = "123456";
 String encryptPwd = encryptor.encrypt(password);
 System.out.println("加密::" + encryptPwd);
 System.out.println("解密:" + encryptor.decrypt(encryptPwd));
 }

}
4、启动服务,在控制台可以看到jaspyt的默认配置(比如加密方式是PBEWithMD5AndDES): 在这里插入图片描述 5、在浏览器请求(端口号自定义):http://localhost:18081/jasypt ,在控制台打印信息:
加密: stqvirrvG8TcLz9mqflBDQ==
解密:123456
jasypt由于其使用的是PBEWithMD5AndDES加密方式,所以每次加密出来的结果都不一样,但是解密都是一样的,所以很适合对数据进行加密 6、将加密的结果替换配置文件中的敏感字段(这里以数据库密码为例,数据库密码是123456):
spring:
 application:
 name: service-provider
 datasource: 
 driver-class-name: com.mysql.jdbc.Driver
 type: com.alibaba.druid.pool.DruidDataSource
 url: jdbc:mysql://localhost:3306/mydb?autoReconnect=true&failOverReadOnly=false&createDatabaseIfNotExist=true&useSSL=false&useUnicode=true&characterEncoding=utf8
 username: root
 password: ENC(stqvirrvG8TcLz9mqflBDQ==)
上面的 ENC()是固定写法,()里面是加密后的信息。 7、在测试类中增加代码:
 @Value("${spring.datasource.password}")
 private String dbPassword; // 数据库密码

 /**
 * 测试配置文件字段加密后,项目中该字段的值
 */
 @GetMapping("/password")
 public String password() {
 return dbPassword;
 }
请求http://localhost:18081/password,会发现结果是123456,说明直接将加密文件解密出来了 扩展 a、自定义上面第6点中ENC()的固定写法。在配置文件中增加jasypt.encryptor.property:
jasypt:
 encryptor:
 #加解密秘钥
 password: EbfYkitulv73I2p0mXI50JMXoaxZTKJ7
 #设置前缀后缀
 property:
 prefix: "ENC@["
 suffix: "]"
b、将加解密秘钥放在配置文件中是不安全的,有如下几种解决办法: 1、在启动类上赋值秘钥:
@SpringBootApplication
public class ProviderApplication {

 public static void main(String[] args) {
 /** 配置加解密秘钥,与配置文件的密文分开放 */
 System.setProperty("jasypt.encryptor.password", "travel-app");
// System.setProperty("jasypt.encryptor.password", "EbfYkitulv73I2p0mXI50JMXoaxZTKJ7");

 SpringApplication.run(ProviderApplication.class, args);
 }

}
2、自定义StringEncryptor:
 /**
 * 配置StringEncryptor
 */
 @Bean("jasyptStringEncryptor")
 public StringEncryptor stringEncryptor() {
 PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
 SimpleStringPBEConfig config = new SimpleStringPBEConfig();
 config.setPassword("EbfYkitulv73I2p0mXI50JMXoaxZTKJ7");
 config.setAlgorithm("PBEWithMD5AndDES");
 config.setKeyObtentionIterations("1000");
 config.setPoolSize("1");
 config.setProviderName("SunJCE");
 config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
 config.setIvGeneratorClassName("org.jasypt.salt.NoOpIVGenerator");
 config.setStringOutputType("base64");
 encryptor.setConfig(config);
 return encryptor;
 }
踩过的坑 a、必须配置加解密用的秘钥,即jasypt.encryptor.password,不然启动会报错 b、springboot2.x以下的版本,只能用jasypt1.x的版本。如果用jasypt2.x的版本,启动会报错,详见https://github.com/ulisesbocchio/jasypt-spring-boot/issues/97
正文到此结束
Loading...