转载

SpringBoot 使用 jasypt 对配置项进行加密

先看一份典型的配置文件

spring:
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    url: jdbc:mysql://127.0.0.1:3306/user?serverTimezone=CTT&useSSL=false&allowPublicKeyRetrieval=true
    username: test
    password: 123456
    
  redis:
    host: 127.0.0.1
    port: 6379
    password: 123456
...
复制代码

像这样将项目的数据库密码、redis密码等直接写在项目中会有潜在的风险,比如项目源码泄漏,员工一不小心将公司源码上传到公有仓库,导致公司数据库密码泄漏。这时候对配置文件的关键信息进行加密就变得非常有必要了

jasypt 介绍

jasypt 是一个开源的工具包,可以很方便的对 SpringBoot 配置文件中的配置项进行加密,保护重要数据,下面讲解一下 jasypt 的使用

jasypt 使用

引入依赖

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.3</version>
</dependency>
复制代码

生成加密字符串

既然需要对关键配置信息进行加密,就需要获取加密后的字符串,可以使用以下三种方式获取加密字符串

  • 通过 api 获取
public static void main(String[] args) {
    BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
    // 加密密钥
    textEncryptor.setPassword("ADUMDFUOV7834*");
    // 要加密的数据(如数据库的用户名或密码)
    String username = textEncryptor.encrypt("root");
    String password = textEncryptor.encrypt("123");
    System.out.println("username:" + username);
    System.out.println("password:" + password);
}
复制代码

输出信息为:

username:ybOxTBF7SimOMLKlD7b3WA==
password:NTT9dRodj5y6o+Ppq1rFsQ==
复制代码

  • 执行 jar 获取

    如果你引入了 jasypt-spring-boot-starter 依赖,可以在本地 maven 仓库的 org/jasypt/jasypt/1.9.3 路径下找到 jasypt-1.9.3.jar 这个 jar 包,可以直接使用这个 jar 对数据进行加密 

java -cp ./jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI password="ADUMDFUOV7834*" algorithm=PBEWithMD5AndDES input=root
复制代码

输出信息为:

----ENVIRONMENT-----------------

Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.231-b11

----ARGUMENTS-------------------

input: root
algorithm: PBEWithMD5AndDES
password: ADUMDFUOV7834*

----OUTPUT----------------------

y7lANzmle3mXD2aiComkww==
复制代码

OUTPUT 下面的就是加密后的字符串,这里加密后的字符串与通过 api 获取的字符串不同,是因为 PBEWithMD5AndDES 算法每次的加密结果都不一样,对加密后的数据进行解密,还是能解密出原始数据的

  • maven 插件方式生成加密字符串

添加 jasypt-maven-plugin

<build>
  <plugins>
      <plugin>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-maven-plugin</artifactId>
        <version>3.0.3</version>
        <configuration>
          <path>file:src/main/resources/application.yml</path>
        </configuration>
      </plugin>
  </plugins>
</build>
复制代码

DEC() 包裹需要加密的字符 

spring:
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    url: jdbc:mysql://127.0.0.1:3306/user?serverTimezone=CTT&useSSL=false&allowPublicKeyRetrieval=true
    username: DEC(test)
    password: DEC(123456)
  redis:
    host: 127.0.0.1
    port: 6379
    password: DEC(123)
复制代码

执行命令

mvn jasypt:encrypt -Djasypt.encryptor.password="ADUMDFUOV7834*"
复制代码

当看到 BUILD SUCCESS 表示执行成功,再看 application.yml 文件,发现用 DEC() 包裹的配置已经成功加密了,并且前缀由 DEC 变成 ENC

spring:
  datasource:
    driver-class-name: com.mysql.jdbc.Driver
    url: jdbc:mysql://127.0.0.1:3306/user?serverTimezone=CTT&useSSL=false&allowPublicKeyRetrieval=true
    username: ENC(qU0YwDQ3Y+X8tyuw/HPJlUsCKgMj7Zk0F+z/9tCNNMPLsSD506TM/I8U9VyXGWN0)
    password: ENC(du4D62bhnGX8vcFQkamwfn/VzDLPwkmxWn4A1wyWu/e6pM0HfrOBc7lqd/vVGUEo)
  redis:
    host: 127.0.0.1
    port: 6379
    password: ENC(8yn4z61PwOJTXrpVx+iQVmJbsuNEQGLFVf5TDcnKKzsge4rmInCPMKUfqIIotyGc)
复制代码

验证

到这里就已经完成对关键配置的加密过程,下面写一个简单的示例验证加密后的数据是否能准确解密

@RestController
public class TestController {

  @Value("${spring.datasource.password}")
  private String databaseUsername;
  @Value("${spring.datasource.username}")
  private String databasePassword;
  
  @GetMapping("/getDatabaseInfo")
  public String getDatabaseInfo(){
    return "username: " + databaseUsername + "," + "password: " + databasePassword;
  }
  
}
复制代码

运行项目,发现控制台报错如下:

SpringBoot 使用 jasypt 对配置项进行加密

记得前面加密时用到的密钥吗 ADUMDFUOV7834* ,解密的时候同样需要提供密钥才能正常解密,我们可以在 application.yml 中加入如下配置 

jasypt.encryptor.password: ADUMDFUOV7834*
复制代码

重新运行程序,浏览器访问 localhost:8080/getDatabaseInfo ,接口返回 

username: 123456,password: test
复制代码

证明 jasypt 在加载配置的时候,会自动完成配置的解密过程,对加密后的配置进行解密

线上使用

可以看到,使用 jasypt 十分的方便,只需要引入依赖,对需要的配置项进行加密即可, jasypt 会自动的完成解密过程

但回到开头,我们加密配置项的目的是为了防止在配置文件泄漏的时候,把配置信息一起泄漏出去。配置我们是加密了,但密钥还是保存在配置文件中,别人还是能拿到密钥在解密出配置信息,这就相当于我们把门给锁了,但是钥匙还是插在锁上,所以需要将配置跟密钥分开存储

  • 通过启动命令将密钥传给应用
java -jar demo.jar --Djasypt.encryptor.password="ADUMDFUOV7834*"
复制代码
  • 通过环境变量的方式
#!/bin/bash
export ENCRYPTOR_PASSWORD=ADUMDFUOV7834*

java -jar -Djasypt.encryptor.password=$ENCRYPTOR_PASSWORD
复制代码

jasypt项目地址: github.com/ulisesbocch…

扫码关注我
一起学习,一起进步
SpringBoot 使用 jasypt 对配置项进行加密
原文  https://juejin.im/post/5f1081a36fb9a07e7879869e
正文到此结束
所属分类: Spring

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
springboot-demo Java入门教程 bootstrap3 CSS Apache基础教程 php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 MongoDB教程 Struts2教程 springcloud-demo Redis教程 Spring教程 Git教程 openfire参考指南 Jenkins进阶系列 Java设计模式 HBase教程 java-demo Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 Ant教程 java实例教程 Hive教程 SpringCloud ANTLR教程 XStream教程 Elastic-Job-Lite Hazelcast教程 深入浅出MyBatis ibaties教程 SVN教程 rabittmq教程 Hadoop教程 solr教程 WebService CXF学习 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 python3-demo Linux入门视频教程
近期评论
  1. 1 SaaS MVP:从0到1的功能闭环设计指南
  2. 2 从0到1可执行的“出海型SaaS最佳MVP路径
  3. 3 用 Comet,让你的每一个问题都得到更好的答案
  4. 4 Toolhub — 一个干净实用的在线工具集合
  5. 5 又学一招:Excel 数据对比及 VBA 实现方案
  6. 6 EasyExcel 读取数值精度丢失问题与解决方案
  7. 7 mongodb重命名和创建索引
  8. 8 WordPress 删除尚未附加的图片:优化网站存储空间的实用指南
  9. 9 OVHcloud 美区购买服务器指南
  10. 10 拿到兑换码后,如何在腾讯 EdgeOne 控制台兑换、接入并体验 CDN 加速?
网站信息
  • 文章总数:82,782 篇
  • 文件总数:210,940 个
  • 标签总数:2,449 个
  • 分类总数:86 个
  • 留言数量:2,584 条
  • 在线人数:669 人
  • 运行天数:4,755天
  • 最后更新:2025年11月03日20点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG