需求:需要对application.yml中配置的数据库密码加密
配置文件如下:
spring:
datasource:
driver-class-name: com.mysql.jdbc.Driver
url: jdbc:mysql://127.0.0.1:3306/user?serverTimezone=CTT&useSSL=false&allowPublicKeyRetrieval=true
username: test
password: 123456
jasypt 介绍
项目中我们经常在配置文件中配置数据库的账号/密码,这些账户密码通常以明文的方式来配置,比如项目源码泄漏,员工一不小心将公司源码上传到公有仓库,导致公司数据库密码泄漏。这时候对配置文件的关键信息进行加密就变得非常有必要了。
Jasypt是一个Java库,它允许开发者以最小的努力为项目添加基本的加密功能,而且不需要对密码学的工作原理有深刻的了解。
具备以下特点:
1.高安全性、基于标准的加密技术,既可用于单向加密也可用于双向加密。加密密码、文本、数字、二进制文件。
2.与Hibernate的透明集成。
3.适合集成到基于Spring的应用程序中,也可与SpringSecurity透明集成。
4.对应用程序的配置进行加密的综合能力。
5.在多处理器/多核系统中具有高性能加密的特殊功能。
6.开发的API,可与任何JCE供应商一起使用。
jasypt 使用
1.引入jasypt-spring-boot加密组件
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.3</version>
</dependency>
2.设置加密秘钥
加密秘钥用来对待加密数据进行加密、解密使用,应用程序启动时需要加载到。Springboot的工程中设置加密秘钥方式有多种。
第一种:在配置文件中配置(建议在开发环境中使用)
jasypt.encryptor.password=YourEncKey
其中YourEncKey为自定义的秘钥。
第二种:在应用启动参数中配置(建议在生产部署时使用)
-Djasypt.encryptor.password=YourEncKey
3.对明文进行加密得到加密串
对明文进行加密的主要代码如下:
@Autowired
private StringEncryptor stringEncryptor;
String encryptStr = stringEncryptor.encrypt("需要加密的明文")
4.配置加密后的密码
上述步骤加密后会得到一个加密后的字符串:encryptStr。
将这个加密后的字符串把配置文件application.yml中的password进行替换。
spring:
datasource:
driver-class-name: com.mysql.jdbc.Driver
url: jdbc:mysql://127.0.0.1:3306/user?serverTimezone=CTT&useSSL=false&allowPublicKeyRetrieval=true
username: test
password: ENC(encryptStr)
注意格式:ENC(密文)
使用ENC()包裹的密文,在jasypt-spring-boot组件会自动解密。
进阶使用
通过以上步骤,可以实现对明文密码进行简单的加密,其加密的规则算法使用的是jasypt-spring-boot组件提供的默认的算法。为了提高安全性,用户可以自己实现加密方法。