欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Java因項目配置不當(dāng)而引發(fā)的數(shù)據(jù)泄露

 更新時間:2021年09月03日 10:55:37   作者:冰 河  
這篇文章主要介紹了Java因項目配置不當(dāng)而引發(fā)的數(shù)據(jù)泄露解決辦法,本文給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下

大家好,我是冰河~~

最近,有位讀者私信我說,他們公司的項目中配置的數(shù)據(jù)庫密碼沒有加密,編譯打包后的項目被人反編譯了,從項目中成功獲取到數(shù)據(jù)庫的賬號和密碼,進一步登錄數(shù)據(jù)庫獲取了相關(guān)的數(shù)據(jù),并對數(shù)據(jù)庫進行了破壞。雖然這次事故影響的范圍不大,但是這足以說明很多公司對于項目的安全性問題重視程度不夠。

如果文章對你有點幫助,小伙伴們點贊,收藏,評論,分享,走起呀~~

數(shù)據(jù)泄露緣由

由于Java項目的特殊性,打包后的項目如果沒有做代碼混淆,配置文件中的重要配置信息沒有做加密處理的話,一旦打包的程序被反編譯后,很容易獲得這些敏感信息,進一步對項目或者系統(tǒng)造成一定的損害。所以,無論是公司層面還是開發(fā)者個人,都需要對項目的安全性有所重視。

今天,我們就一起來聊聊如何在項目中加密數(shù)據(jù)庫密碼,盡量保證數(shù)據(jù)庫密碼的安全性。本文中,我使用的數(shù)據(jù)庫連接池是阿里開源的Druid。

數(shù)據(jù)庫密碼加密

配置數(shù)據(jù)庫連接池

這里,我就簡單的使用xml配置進行演示,當(dāng)然小伙伴們也可以使用Spring注解方式,或者使用SpringBoot進行配置。

<!--數(shù)據(jù)源加密操作-->
<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/>
 
<bean id="statFilter" class="com.alibaba.druid.filter.stat.StatFilter" lazy-init="true">
        <property name="logSlowSql" value="true"/>
        <property name="mergeSql" value="true"/>
    </bean>
<!-- 數(shù)據(jù)庫連接 -->
<bean id="readDataSource" class="com.alibaba.druid.pool.DruidDataSource"
          destroy-method="close" init-method="init" lazy-init="true">
        <property name="driverClassName" value="${driver}"/>
        <property name="url" value="${url1}"/>
        <property name="username" value="${username}"/>
        <property name="password" value="${password}"/>
        <!-- 初始化連接大小 -->
        <property name="initialSize" value="${initialSize}"/>
        <!-- 連接池最大數(shù)量 -->
        <property name="maxActive" value="${maxActive}"/>
        <!-- 連接池最小空閑 -->
        <property name="minIdle" value="${minIdle}"/>
        <!-- 獲取連接最大等待時間 -->
        <property name="maxWait" value="${maxWait}"/>
        <!-- -->
        <property name="defaultReadOnly" value="true"/>
        <property name="proxyFilters">
            <list>
                <ref bean="statFilter"/>
            </list>
        </property>
        <property name="filters" value="${druid.filters}"/>
        <property name="connectionProperties" value="password=${password}"/>
        <property name="passwordCallback" ref="dbPasswordCallback"/>
        <property name="testWhileIdle" value="true"/>
        <property name="testOnBorrow" value="false"/>
        <property name="testOnReturn" value="false"/>
        <property name="validationQuery" value="SELECT 'x'"/>
        <property name="timeBetweenLogStatsMillis" value="60000"/>
        <!-- 配置一個連接在池中最小生存的時間,單位是毫秒 -->
        <property name="minEvictableIdleTimeMillis" value="${minEvictableIdleTimeMillis}"/>
        <!-- 配置間隔多久才進行一次檢測,檢測需要關(guān)閉的空閑連接,單位是毫秒 -->
        <property name="timeBetweenEvictionRunsMillis" value="${timeBetweenEvictionRunsMillis}"/>
</bean>

其中要注意的是:我在配置文件中進行了如下配置。

<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/>
 
<property name="connectionProperties" value="password=${password}"/>  
<property name="passwordCallback" ref="dbPasswordCallback"/>

生成RSA密鑰

使用RSA公鑰和私鑰,生成一對公鑰和私鑰的工具類如下所示。

package com.binghe.crypto.rsa;
import java.security.Key;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.util.HashMap;
import java.util.Map;
import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;
/**
 * 算法工具類
 * @author binghe
 */
public class RSAKeysUtil {
 
    public static final String KEY_ALGORITHM = "RSA";
    public static final String SIGNATURE_ALGORITHM = "MD5withRSA";
    private static final String PUBLIC_KEY = "RSAPublicKey";
    private static final String PRIVATE_KEY = "RSAPrivateKey";
 
    public static void main(String[] args) {
        Map<String, Object> keyMap;
        try {
            keyMap = initKey();
            String publicKey = getPublicKey(keyMap);
            System.out.println(publicKey);
            String privateKey = getPrivateKey(keyMap);
            System.out.println(privateKey);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
 
    public static String getPublicKey(Map<String, Object> keyMap) throws Exception {
        Key key = (Key) keyMap.get(PUBLIC_KEY);
        byte[] publicKey = key.getEncoded();
        return encryptBASE64(key.getEncoded());
    }
 
    public static String getPrivateKey(Map<String, Object> keyMap) throws Exception {
        Key key = (Key) keyMap.get(PRIVATE_KEY);
        byte[] privateKey = key.getEncoded();
        return encryptBASE64(key.getEncoded());
    }
 
    public static byte[] decryptBASE64(String key) throws Exception {
        return (new BASE64Decoder()).decodeBuffer(key);
    }
 
    public static String encryptBASE64(byte[] key) throws Exception {
        return (new BASE64Encoder()).encodeBuffer(key);
    }
 
    public static Map<String, Object> initKey() throws Exception {
        KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM);
        keyPairGen.initialize(1024);
        KeyPair keyPair = keyPairGen.generateKeyPair();
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
        Map<String, Object> keyMap = new HashMap<String, Object>(2);
        keyMap.put(PUBLIC_KEY, publicKey);
        keyMap.put(PRIVATE_KEY, privateKey);
        return keyMap;
    }
}

運行這個類,輸出的結(jié)果如下:

在這里插入圖片描述

在輸出的結(jié)果信息中,上邊是公鑰下邊是私鑰。

對密碼進行加密

使用私鑰對明文密碼進行加密,示例代碼如下所示。

package com.binghe.dbsource.demo;
import com.alibaba.druid.filter.config.ConfigTools;
/**
 * 使用密鑰加密數(shù)據(jù)庫密碼的代碼示例
 * @author binghe
 */
public class ConfigToolsDemo {
	/**
	 * 私鑰對數(shù)據(jù)進行加密
	 */
	private static final String PRIVATE_KEY_STRING = "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";
    public static void main(String[] args) throws Exception {
    	 //密碼明文,也就是數(shù)據(jù)庫的密碼
        String plainText = "root";
        System.out.printf(ConfigTools.encrypt(PRIVATE_KEY_STRING, plainText));
	}
}

運行上述代碼示例,結(jié)果如下所示。

在這里插入圖片描述

然后將數(shù)據(jù)庫配置的鏈接密碼改為這個輸出結(jié)果如下:

jdbc.username=root
jdbc.password=EA9kJ8NMV8zcb5AeLKzAsL/8F1ructRjrqs69zM70BwDyeMtxuEDEVe9CBeRgZ+qEUAshhWGEDk9ay3TLLKrf2AOE3VBn+w8+EfUIEXFy8u3jYViHeV8yc8Z7rghdFShhd/IJbjqbsro1YtB9pHrl4EpbCqp7RM2rZR/wJ0WN48=

編寫解析數(shù)據(jù)庫密碼的類

package com.binghe.dbsource;
import java.util.Properties;
import com.alibaba.druid.filter.config.ConfigTools;
import com.alibaba.druid.util.DruidPasswordCallback;
/**
 * 數(shù)據(jù)庫密碼回調(diào)
 * @author binghe
 */
public class DBPasswordCallback extends DruidPasswordCallback {
	private static final long serialVersionUID = -4601105662788634420L;
	/**
	 * password的屬性
	 */
	private static final String DB_PWD = "password";
	/**
	 * 數(shù)據(jù)對應(yīng)的公鑰
	 */
	public static final String PUBLIC_KEY_STRING = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCratyCT+YnQ12YzC+iPB0wJdIbVmUjjuNy4Wf/rLbCBudFrLltFCdr3axLY70xHycT+jdVTa27BfS67KegOAMlMMdNGVLnk5W1Gl+tNd+A4tCHUNwuEU7eZjyGxd4VCnq7PHLJbYGEeHwcr0dxKuJbfowKJVRypss7n7pB93d7yQIDAQAB";
	
	@Override
	public void setProperties(Properties properties) {
        super.setProperties(properties);
        String pwd = properties.getProperty(DB_PWD);
        if (pwd != null && !"".equals(pwd.trim())) {
            try {
                //這里的password是將jdbc.properties配置得到的密碼進行解密之后的值
                //所以這里的代碼是將密碼進行解密
                //TODO 將pwd進行解密;
                String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd); 
                setPassword(password.toCharArray());
            } catch (Exception e) {
                setPassword(pwd.toCharArray());
            }
        }
    }
}

這里DBPasswordCallback類,就是在配置文件中配置的DBPasswordCallback類,如下所示。

<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/>

其中PasswordCallback是javax.security.auth.callback包下面的,底層安全服務(wù)實例化一個 PasswordCallback 并將其傳遞給 CallbackHandler 的 handle 方法,以獲取密碼信息。

當(dāng)然,除了使用上述的方式,自己也可以對應(yīng)一套加解密方法,只需要將 DBPasswordCallback的 String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd); 替換即可。

另外,在編寫解析數(shù)據(jù)庫密碼的類時,除了可以繼承阿里巴巴開源的Druid框架中的DruidPasswordCallback類外,還可以直接繼承自Spring提供的PropertyPlaceholderConfigurer類,如下所示。

public class DecryptPropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer{
    /**
     * 重寫父類方法,解密指定屬性名對應(yīng)的屬性值
     */
    @Override
    protected String convertProperty(String propertyName,String propertyValue){
        if(isEncryptPropertyVal(propertyName)){
            return DesUtils.getDecryptString(propertyValue);//調(diào)用解密方法
        }else{
            return propertyValue;
        }
    }
    /**
     * 判斷屬性值是否需要解密,這里我約定需要解密的屬性名用encrypt開頭
     */
    private boolean isEncryptPropertyVal(String propertyName){
        if(propertyName.startsWith("encrypt")){
            return true;
        }else{
            return false;
        }
    }
}

此時,就需要將xml文件中的如下配置

<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/>

修改為下面的配置。

<bean id="dbPasswordCallback" class="com.binghe.dbsource.DecryptPropertyPlaceholderConfigurer" lazy-init="true"/>

到此,在項目中對數(shù)據(jù)庫密碼進行加密和解析的整個過程就完成了。

寫在最后

如果你想進大廠,想升職加薪,或者對自己現(xiàn)有的工作比較迷茫,都可以私信我交流,希望我的一些經(jīng)歷能夠幫助到大家~~

到此這篇關(guān)于Java力挽狂瀾因項目配置不當(dāng)而引發(fā)的數(shù)據(jù)泄露的文章就介紹到這了,更多相關(guān)Java數(shù)據(jù)泄露內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • java實現(xiàn)將結(jié)果集封裝到List中的方法

    java實現(xiàn)將結(jié)果集封裝到List中的方法

    這篇文章主要介紹了java實現(xiàn)將結(jié)果集封裝到List中的方法,涉及java數(shù)據(jù)庫查詢及結(jié)果集轉(zhuǎn)換的相關(guān)技巧,具有一定參考借鑒價值,需要的朋友可以參考下
    2016-07-07
  • hibernate 命名查詢?nèi)绾螌崿F(xiàn)

    hibernate 命名查詢?nèi)绾螌崿F(xiàn)

    Hibernate允許在映射文件中定義字符串形式的查詢語句,這種查詢方式成為命名查詢,需要的朋友可以參考下
    2012-11-11
  • 解決java.lang.NullPointerException報錯以及分析出現(xiàn)的幾種原因

    解決java.lang.NullPointerException報錯以及分析出現(xiàn)的幾種原因

    這篇文章介紹了解決java.lang.NullPointerException報錯的方法,以及分析出現(xiàn)的幾種原因。對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2021-12-12
  • RabbitMQ消息有效期與死信的處理過程

    RabbitMQ消息有效期與死信的處理過程

    利用DLX,當(dāng)消息在一個隊列中變成死信?(dead?message)?之后,它能被重新publish到另一個Exchange,這個Exchange就是DLX,本文重點給大家介紹RabbitMQ消息有效期與死信的相關(guān)知識,感興趣的朋友跟隨小編一起看看吧
    2022-03-03
  • Java自定義equals產(chǎn)生的問題分析

    Java自定義equals產(chǎn)生的問題分析

    這篇文章主要介紹了Java自定義equals時super.equals帶來的問題分析,總的來說這并不是一道難題,那為什么要拿出這道題介紹?拿出這道題真正想要傳達的是解題的思路,以及不斷優(yōu)化探尋最優(yōu)解的過程。希望通過這道題能給你帶來一種解題優(yōu)化的思路
    2023-01-01
  • jenkins+maven+svn自動部署和發(fā)布的詳細(xì)圖文教程

    jenkins+maven+svn自動部署和發(fā)布的詳細(xì)圖文教程

    Jenkins是一個開源的、可擴展的持續(xù)集成、交付、部署的基于web界面的平臺。這篇文章主要介紹了jenkins+maven+svn自動部署和發(fā)布的詳細(xì)圖文教程,需要的朋友可以參考下
    2020-09-09
  • Spring Boot(三)之找回熟悉的Controller,Service

    Spring Boot(三)之找回熟悉的Controller,Service

    這篇文章主要介紹了Spring Boot(三)之找回熟悉的Controller,Service,需要的朋友可以參考下
    2017-04-04
  • 如何用struts調(diào)用支付寶接口

    如何用struts調(diào)用支付寶接口

    以下為大家介紹如何用struts調(diào)用支付寶接口的例子。
    2013-04-04
  • SpringMVC?@RequestMapping注解詳解

    SpringMVC?@RequestMapping注解詳解

    本文主要介紹了SpringMVC?@RequestMapping注解詳解,文中通過示例代碼介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2021-12-12
  • Java將word文件轉(zhuǎn)成pdf文件的操作方法

    Java將word文件轉(zhuǎn)成pdf文件的操作方法

    這篇文章主要介紹了Java將word文件轉(zhuǎn)成pdf文件的操作方法,本文通過實例代碼給大家介紹的非常詳細(xì),對大家的學(xué)習(xí)或工作具有一定的參考借鑒價值,需要的朋友可以參考下
    2023-09-09

最新評論