这是我参与8月更文挑战的第19天,活动详情查看:8月更文挑战
SpringBoot的配置文件中我们经常配置,参数间的引用、随机数的应用、命令行参数的使用、多环境的配置管理等等。
这些配置相关的知识都是Spring Boot原生就提供的,而今天我们将介绍的功能并非Spring Boot原生就支持,但却非常有用:配置内容的加密。
1.加密流程
我们将使用https://github.com/ulisesbocchio/jasypt-spring-boot
这个开源项目提供的实现和插件,来帮助我们轻松的完成配置信息的加密。
赶紧跟着我下面的步骤动手试试吧!
第一步:创建一个基础的Spring Boot项目
第二步:设计一个参数和单元测试,用来输出这个配置信息
准备加密的配置:
datasource.password=hanpang.com
用来输出配置信息的单元测试:
@Slf4j
@SpringBootTest
public class PropertiesTest {
@Value("${datasource.password}")
private String password;
@Test
public void test() {
log.info("datasource.password : {}", password);
}
}
输出的结果是没有经过加密处理的数据
第三步:在pom.xml
中引入jasypt提供的Spring Boot Starter
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.3</version>
</dependency>
在插件配置中加入:
<plugin>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-maven-plugin</artifactId>
<version>3.0.3</version>
</plugin>
第四步:在配置文件中加入加密需要使用的密码
jasypt.encryptor.password=didispace
同时,修改要加密的内容,用DEC()
将待加密内容包裹起来,比如:
datasource.password=DEC(didispace.com)
第五步:使用jasypt-maven-plugin
插件来给DEC()
包裹的内容实现批量加密。
在终端中执行下面的命令:
mvn jasypt:encrypt -Djasypt.encryptor.password=didispace
注意:这里
-Djasypt.encryptor.password
参数必须与配置文件中的一致,不然后面会解密失败
执行之后,重新查看配置文件,可以看到,自动变成了
datasource.password=ENC(/AL9nJENCYCh9Pfzdf2xLPsqOZ6HwNgQ3AnMybFAMeOM5GphZlOK6PxzozwtCm+Q)
jasypt.encryptor.password=didispace
其中,ENC()
跟DEC()
一样都是jasypt提供的标识,分别用来标识括号内的是加密后的内容和待加密的内容。
如果当前配置文件已经都是ENC()
内容了,那么我们可以通过下面的命令来解密配置文件,查看原始信息:
mvn jasypt:decrypt -Djasypt.encryptor.password=didispace
该操作不会修改配置文件,只会在控制台输出解密结果,比如:
datasource.password=DEC(didispace.com)
jasypt.encryptor.password=didispace
第六步:此时,我们的配置文件中的敏感信息已经被ENC()
修饰了,再执行一下单元测试,不出意外的话,依然可以得到之前一样的结果:
2021-08-13 22:50:00.463 INFO 76150 --- [ main] com.didispace.chapter15.PropertiesTest : datasource.password : didispace.com
而此时,配置文件中已经是加密内容了,敏感信息得到了保护。
2.进一步思考
根据上面的步骤,爱思考的你,也许会发现这样的问题:虽然敏感信息是加密了,但是我们通过配置文件也能看到jasypt.encryptor.password
信息,我们是不是通过利用这个再把原始信息解密出来,这样的话岂不是还是不安全?
上面的实现方式的确是会有这样的问题!所以,在实际应用的过程中,jasypt.encryptor.password
的配置,可以通过运维小伙伴在环境变量或启动参数中注入,而不是由开发人员在配置文件中指定。
同时,为了应对更高的安全要求,jasypt也提供自定义的加密解密方式,这里就不做具体展开了,有兴趣的小伙伴可以前往jasypt的仓库(github.com/ulisesbocch…