加密配置文件的SQL賬號密碼

一般項目的配置文件里的信息都是明文的，導致有時候比較敏感的信息也直接暴露得超級明顯，比如SQL的鏈接 賬號 密碼等。

可能作為開發(fā)者，開發(fā)環(huán)境這些暴露了也沒多大關系，但是生產(chǎn)環(huán)境就需要謹慎了！

話不多說，我們可以選擇國外牛人寫的SpringBoot的工具 jasypt 進行加密，項目是開源的

Github地址如下：https://github.com/ulisesbocchio/jasypt-spring-boot

1、在Maven項目中引入依賴

<dependency>
? ? <groupId>com.github.ulisesbocchio</groupId>
? ? <artifactId>jasypt-spring-boot-starter</artifactId>
? ? <version>2.1.0</version>
</dependency>

2、同時需要在application.yml配置文件中先配置密碼

因為工具是使用該密碼進行加密或者解密的，所以必須保證配置中加密后的串是使用同一密碼加密的，否則項目啟動時也解密不了。

jasypt:
? ? encryptor:
? ? ? ? password: 123456

3、可以在測試用例中

對原信息進行加密，使用方法很簡單。簡單的Demo如下：

@RunWith(SpringRunner.class)
@SpringBootTest
@WebAppConfiguration
public class Test {
? ? @Autowired
? ? StringEncryptor encryptor;
?
? ? @Test
? ? public void getPass() {
? ? ? ? #直接調(diào)用加密的方法
? ? ? ? String mysql = encryptor.encrypt("mysql-username|mysql-password");
? ? }
}

4、最后在配置文件中放入加密后的字符串就行

如上面的 “mysql” 串

url: ENC(mysql==)
username: ENC(mysql==)
password: ENC(mysql=)

注意 ENC() 是固定的寫法，mysql== 就是你加密后的對應串。

這樣就可以假裝的把敏感信息加密了，哈哈哈之所以說假裝。可能很多人都會有疑問，既然加密的密碼是明文的存在配置文件中，別人一樣可以輕松的解密出來。

沒錯，確實是這樣。這種加密的方式只能說不能讓人眼一下子看出賬號密碼。

只是偽裝了一下，如果hacker拿到了你的項目權(quán)限，那么做任何加密其實都沒有大作用了。所以做好項目和服務器的安全問題才是最基本的也是最重要的。

OK!OK!OK! 

對配置文件進行加密

開發(fā)的同學們都知道，例如項目依賴的信息，數(shù)據(jù)庫信息一般是保存在配置文件中，而且都是明文，因此需要進行加密處理，今天在這里介紹下jasypt集成springboot加密的配置。

首先，這些都是建立在你的springboot項目是能正常運行的前提下。

第一步：pom文件加入依賴，如圖

這里提供一個版本

<dependency>
? ?<groupId>com.github.ulisesbocchio</groupId>
? ?<artifactId>jasypt-spring-boot-starter</artifactId>
? ?<version>2.1.0</version>
</dependency>

第二步：生成密鑰

找到你本地maven倉庫的jasypt的jar包，在該目錄下打開cmd命令窗口，如圖：

執(zhí)行

java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="test" password=test algorithm=PBEWithMD5AndDES

其中input為你的明文密碼，這里我演示的是test，password為你的私鑰，algorithm這個是一個規(guī)則，切勿更改?。。?。執(zhí)行后如圖：

簡單解釋一下，這里的OUTPUT就是加密之后的密文（密碼）。這里提供一下cmd復制文本的辦法（因為我一開始也不會cmd復制）：鼠標右鍵標記然后選中你要復制的內(nèi)容，就可以復制啦。

第三步：springboot配置文件中添加配置，如圖

這里我用的是application.yml文件，application.properties文件寫成這樣：jasypt.encryptor.password=test。

但是真正使用的是啟動類中System.setProperty("jasypt.encryptor.password", "demo");給這一節(jié)點間重新賦值，這樣有利于再次保護到私鑰，（如果哪位有更好的方案，請及時留言，大家一起討論討論。）

說明：上圖第一個password對應第二步中ARGUEMENTS中的password，第二個password對應第二步中OUTPUT中的結(jié)果，形式一定要加上ENC(you password),如圖所示。

第四步：通過命令解密密碼

執(zhí)行命令

java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="nhyL4CzSQv/aPxoe7TzpOQ==" password=test algorithm=PBEWithMD5AndDES

結(jié)果如下圖：

這里到最后就完成了springboot和jasypt的集成啦，是不是非常簡單，哈哈。不過有一點要注意哦，千萬不要泄露你的配置文件哦（特別是ARGUMENTS里面的password，這個相當于私鑰），不然別人可以通過第四步解密你的密碼，建議還是把配置文件放在配置中心

百度的disconf https://github.com/knightliao/disconf 有興趣的同學可以去研究一下。

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論