SpringBoot3使用Jasypt加密數(shù)據(jù)庫用戶名、密碼等敏感信息
一、使用步驟介紹
使用Jasypt(Java Simplified Encryption)進行數(shù)據(jù)加密和解密主要涉及幾個步驟,包括引入依賴、配置加密密碼、加密敏感信息、將加密信息存儲到配置文件中,以及應(yīng)用程序啟動時自動解密。以下是詳細(xì)的使用說明:
1. 引入依賴
首先,你需要在你的項目中引入Jasypt的依賴。如果你是使用Maven構(gòu)建項目,可以在pom.xml
文件中添加如下依賴(注意版本號可能隨時間更新,請參考最新版本):
<dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.5</version> </dependency>
可根據(jù)需要替換成最新的版本號。
2. 配置加密密碼
Jasypt需要一個密碼來進行加密和解密操作。你可以通過以下幾種方式配置這個密碼:
在配置文件中指定:在你的application.properties
或application.yml
配置文件中,添加jasypt.encryptor.password
配置項,并設(shè)置你的密碼。例如:
# application.properties jasypt.encryptor.password=your_encryption_password
或者,在application.yml
中:
jasypt: encryptor: password: your_encryption_password
然而,將密碼直接寫在配置文件中可能存在安全風(fēng)險。因此,更推薦的做法是通過啟動參數(shù)或環(huán)境變量來傳遞這個密碼。
通過啟動參數(shù)指定:在啟動應(yīng)用程序時,可以通過
-Djasypt.encryptor.password=your_encryption_password
參數(shù)來指定加密密碼。使用環(huán)境變量:在某些情況下,使用環(huán)境變量來存儲敏感信息(如加密密碼)可能更為安全。具體方法取決于你的應(yīng)用程序部署環(huán)境。
3. 加密敏感信息
在配置加密密碼后,你可以使用Jasypt提供的工具或API來加密你的敏感信息。加密后的信息將以密文形式存儲。
使用Jasypt CLI工具:Jasypt提供了一個命令行界面(CLI)工具,允許你在命令行中加密和解密字符串。你需要下載Jasypt的jar包,并在命令行中運行相應(yīng)的命令。
使用Jasypt API:在你的Java應(yīng)用程序中,你可以通過注入
StringEncryptor
接口的實現(xiàn)類來編程方式加密和解密字符串。這通常在你的Spring Boot應(yīng)用程序中通過自動裝配完成。
4. 將加密信息存儲到配置文件中
加密敏感信息后,你需要將這些加密后的信息存儲到配置文件中。在Jasypt中,加密后的信息通常以ENC(...)
的形式出現(xiàn),括號內(nèi)是加密后的密文。例如:
# application.properties datasource.password=ENC(加密后的密碼)
5. 應(yīng)用程序啟動時自動解密
當(dāng)你的Spring Boot應(yīng)用程序啟動時,Jasypt會自動檢測配置文件中的ENC(...)
字符串,并使用你配置的加密密碼來解密這些字符串。解密后的明文將用于應(yīng)用程序的配置中。
注意事項
- 安全性:確保你的加密密碼足夠復(fù)雜且安全存儲,避免將密碼直接寫在配置文件中。
- 版本兼容性:注意你使用的Jasypt版本與其他庫或框架的兼容性。
- 算法選擇:Jasypt支持多種加密算法,你可以根據(jù)需要在配置文件中指定加密算法。
通過以上步驟,你可以在你的Spring Boot應(yīng)用程序中使用Jasypt來加密和解密配置文件中的敏感信息。
二、使用示例代碼
1、通過工具類生成密文
在application.properties 中增加配置,或者通過-Djasypt.encryptor.password=123456
參數(shù)來指定加密密碼
# 用于加密的密碼 jasypt.encryptor.password=123456
使用 stringEncryptor.encrypt()
生成密文
public class JasyptSecretTest { @Autowired private StringEncryptor stringEncryptor; @Value("${datasource.password}") private String password; @Test public void encrypt(){ // 加密 String encrypt = stringEncryptor.encrypt("root"); System.out.println("encrypt = " + encrypt); } }
2、在application.properties 中增加配置密文
# 加密后的密文,包裹在ENC() 中 datasource.password=ENC(grdksstYZMsPmwvA0ALHXpzBQN2YTyA3t4ow1PDfJzbl+UV0LdO8UlajWKeqUF7y) # 用于加密的密碼 jasypt.encryptor.password=123456
3、使用 @Value()
獲取明文,也可以通過stringEncryptor.decrypt(encrypt)
手動解密
@SpringBootTest public class JasyptSecretTest { @Autowired private StringEncryptor stringEncryptor; @Value("${datasource.password}") private String password; @Test public void encrypt(){ // 加密 String encrypt = stringEncryptor.encrypt("root"); System.out.println("encrypt = " + encrypt); // 解密,輸入獲取的加密字符串進行解密 String decrypt = stringEncryptor.decrypt(encrypt); System.out.println("decrypt = " + decrypt); } @Test public void show(){ System.out.println("password = " + password); } }
原理說明
SpringBoot項目在啟動過程中,會自動注入beanStringEncryptor
,用于根據(jù)不同的加密算法初始化不同的加解密實現(xiàn)類,通過StringEncryptorBuilder.build()
初始化不同的加密算法
BeanNamePlaceholderRegistryPostProcessor
@Bean(name = ENCRYPTOR_BEAN_NAME) public StringEncryptor stringEncryptor( final EnvCopy envCopy, final BeanFactory bf) { final String customEncryptorBeanName = envCopy.get().resolveRequiredPlaceholders(ENCRYPTOR_BEAN_PLACEHOLDER); final boolean isCustom = envCopy.get().containsProperty(ENCRYPTOR_BEAN_PROPERTY); return new DefaultLazyEncryptor(envCopy.get(), customEncryptorBeanName, isCustom, bf); }
通過EncryptableMapPropertySourceWrapper重寫了getProperty()方法,在獲取配置值的時候,再做解密返回明文
DefaultPropertyResolver
@Override public String resolvePropertyValue(String value) { return Optional.ofNullable(value) .map(environment::resolvePlaceholders) .filter(detector::isEncrypted) .map(resolvedValue -> { try { // 獲取密文 String unwrappedProperty = detector.unwrapEncryptedValue(resolvedValue.trim()); String resolvedProperty = environment.resolvePlaceholders(unwrappedProperty); // 執(zhí)行解密操作 return encryptor.decrypt(resolvedProperty); } catch (EncryptionOperationNotPossibleException e) { throw new DecryptionException("Unable to decrypt property: " + value + " resolved to: " + resolvedValue + ". Decryption of Properties failed, make sure encryption/decryption " + "passwords match", e); } }) .orElse(value); }
三、Jasypt配置項
Jasypt支持多種配置參數(shù)以進行密碼、Digest認(rèn)證、文本和對象的加密。以下是Jasypt支持的一些常見配置參數(shù):
配置參數(shù) | 描述 | 示例 |
---|---|---|
jasypt.encryptor.password | 加密器的密碼,用于解密屬性 | jasypt.encryptor.password=mySecretPassword |
jasypt.encryptor.algorithm | 加密算法的名稱 | jasypt.encryptor.algorithm=PBEWithMD5AndDES |
jasypt.encryptor.keyObtentionIterations | 獲取密鑰時使用的迭代次數(shù) | jasypt.encryptor.keyObtentionIterations=1000 |
jasypt.encryptor.poolSize | 加密池的大小(如果使用了池化加密器) | jasypt.encryptor.poolSize=1 |
jasypt.encryptor.providerName | 加密提供者的名稱(如JCE提供者) | jasypt.encryptor.providerName=SunJCE |
jasypt.encryptor.saltGeneratorClassName | 鹽生成器的類名 | jasypt.encryptor.saltGeneratorClassName=org.jasypt.salt.RandomSaltGenerator |
jasypt.encryptor.ivGeneratorClassName | 初始化向量生成器的類名 | jasypt.encryptor.ivGeneratorClassName=org.jasypt.iv.NoIvGenerator |
jasypt.encryptor.stringOutputType | 加密字符串的輸出類型(如base64) | jasypt.encryptor.stringOutputType=base64 |
jasypt.encryptor.property.prefix | 加密屬性前綴,用于識別加密屬性 | jasypt.encryptor.property.prefix=ENC( |
jasypt.encryptor.property.suffix | 加密屬性后綴,用于識別加密屬性 | jasypt.encryptor.property.suffix=) |
jasypt.encryptor.proxyPropertySources | 是否通過代理截取屬性值以進行解密 | jasypt.encryptor.proxyPropertySources=true |
注意:
- 這些參數(shù)主要用于配置Jasypt加密器(
StringEncryptor
)的行為。 - 在實際使用中,特別是生產(chǎn)環(huán)境中,
jasypt.encryptor.password
等敏感信息不應(yīng)該硬編碼在配置文件中,而是通過環(huán)境變量、命令行參數(shù)或外部配置文件等方式安全地傳遞。 - Jasypt支持多種加密算法,如PBEWithMD5AndDES、PBEWithHMACSHA512ANDAES_256等,具體選擇哪種算法取決于安全需求和環(huán)境配置。
- 上述表格中的示例配置參數(shù)值僅為演示用途,實際使用時需要根據(jù)項目需求和安全策略進行配置。
四、支持的加密算法
Jasypt支持多種加密算法以保護敏感數(shù)據(jù)。以下是Jasypt支持的一些常見加密算法:
加密算法名稱 | 描述 |
---|---|
PBEWithMD5AndDES | 基于密碼的加密(PBE),使用MD5作為散列函數(shù)和DES作為加密算法。這是一種較舊的加密算法,但在某些舊系統(tǒng)中可能仍在使用 |
PBEWithMD5AndTripleDES | 與PBEWithMD5AndDES類似,但使用TripleDES作為加密算法,提供了更強的安全性。 |
PBEWithHMACSHA512ANDAES_256 | 使用HMAC-SHA-512散列函數(shù)和AES-256加密算法的組合,提供了非常高的安全性。這是Jasypt較新版本中推薦的加密算法之一(默認(rèn)值) |
AES | 高級加密標(biāo)準(zhǔn)(AES),是一種廣泛使用的對稱加密算法。Jasypt支持不同長度的AES密鑰,如AES-128、AES-192和AES-256 |
RSA | Rivest-Shamir-Adleman(RSA)算法,是一種非對稱加密算法。它使用一對密鑰:公鑰和私鑰。公鑰用于加密數(shù)據(jù),私鑰用于解密數(shù)據(jù) |
以上就是SpringBoot3使用Jasypt加密數(shù)據(jù)庫用戶名、密碼等敏感信息的詳細(xì)內(nèi)容,更多關(guān)于SpringBoot3 Jasypt加密數(shù)據(jù)庫信息的資料請關(guān)注腳本之家其它相關(guān)文章!
相關(guān)文章
Spring Cache + Caffeine的整合與使用示例詳解
對于一些項目里需要對數(shù)據(jù)庫里的某些數(shù)據(jù)一直重復(fù)請求的,且這些數(shù)據(jù)基本是固定的,在這種情況下,可以借助簡單使用本地緩存來緩存這些數(shù)據(jù),本文介紹一下Spring Cache和Caffeine的使用,感興趣的朋友一起看看吧2023-12-12spring boot下mybatis配置雙數(shù)據(jù)源的實例
這篇文章主要介紹了spring boot下mybatis配置雙數(shù)據(jù)源的實例,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2021-09-09springboot內(nèi)置tomcat調(diào)優(yōu)并發(fā)線程數(shù)解析
這篇文章主要介紹了springboot內(nèi)置tomcat調(diào)優(yōu)并發(fā)線程數(shù)解析,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2021-12-12MyBatis-Plus?updateById更新不了空字符串或null的解決方法
本文主要介紹了MyBatis-Plus?updateById更新不了空字符串或null的解決方法,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2023-03-03SpringMVC 參數(shù)綁定相關(guān)知識總結(jié)
這篇文章主要介紹了SpringMVC 參數(shù)綁定相關(guān)知識總結(jié),幫助大家更好的理解和學(xué)習(xí)使用SpringMVC,感興趣的朋友可以了解下2021-03-03