前言
最近项目组开始关注一些敏感数据的明文相关的事宜 , 其实这些东西也是都有非常成熟的解决方案。 既然最近着手去解决这些事情,那么也顺便给还未了解的大伙普及一下。
这个系列就暂短的分成三篇 :
yml配置文件里敏感数据的加密
第二篇 传入数据敏感数据的加密存储
第三篇 使用mysql加解密函数轻松实现
Springboot 使用mysql加密解密函数 (数据加密篇 三)_默默不代表沉默
本篇是第一篇
正文
先看我们的实践项目例子 :
我们目标是想对这些我们认为是敏感的数据加密,不能这么明白的展现出来 。
1. pom文件引入依赖:
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>2.1.0</version>
</dependency>
2.yml引入加密钥匙配置 :
#jasypt加密的密匙
jasypt:
encryptor:
password: JCCCCgd6Tsjckd87xGy6H1JGb47G2H72
这里注意,如果直接把加密password这样摆在yml里面,其实也是敏感的, 一会文章后面会介绍把这个当作启动参数传入。
3.开始事宜jasypt 加密 :
我们把需要加密的敏感数据拿出来,提前加密:
@Autowired
StringEncryptor encryptor;
@Test
void contextLoads() {
String dbUrl = encryptor.encrypt("jdbc:mysql://localhost:3306/mytest?useSSL=false&useUnicode=true&characterEncoding=UTF-8&serverTimezone=GMT%2B8&zeroDateTimeBehavior=convertToNull");
System.out.println(dbUrl);
String username = encryptor.encrypt("root");
System.out.println(username);
String password = encryptor.encrypt("root");
System.out.println(password);
}
可以拿到对应加密出来的数据 。
4.使用jasypt 的解析规则,把加密完后的数据替换配置到 yml文件里:
规则 ENC(加密数据)
5. 运行项目,调用查询接口,看看是否能正常获取数据库数据,校验相关敏感数据是能正常解密解析的:
ok,到这里我们已经完成了本篇的实践内容 。
我们最后来针对这个 jasypt的加密解密使用钥匙做点事情,
我们要把这个参数变成 不写死不暴露 的:
方案提供思路: 当作启动参数传入
实践:
我们把yml的钥匙去掉, 保留原先加密完的数据配置 :
spring:
datasource:
druid:
url: ENC(OGNie1iT/W6LBSdXvmIv/tyQA69HbI1OUSh3MM/UeTv2dufbuJBu0aEf7EN86DOPiXOZyHtYTVwu+3AHtmPPZYxXbaw9xU04x8POZsWjx6BmQBmdNRyBVcO7IixG9F+WK6+jlRhXEsgqTk+MOpDuPBBmf8Zw+LoWeKPICfqn2SOJAOJ2gSrE7wDSR4YRejgDWDPcMIvo4yfKG8pJZZ6OeQ==)
username: ENC(cuaMHDblkuVeHSFyV+OKmQ==)
password: ENC(BEQNsEv0gIkvRWwg2P9ktg==)
server:
port: 8766
mybatis:
config-location: classpath:mybatis/mybatis-config.xml
mapper-locations: classpath:mybatis/mapper/*.xml
然后当作 启动参数传入
-Djasypt.encryptor.password=JCCCCgd6Tsjckd87xGy6H1JGb47G2H72
如果是使用jar运行就对应命令里面加入 类似:
java -jar -Djasypt.encryptor.password=JCCCCgd6Tsjckd87xGy6H1JGb47G2H72 XXX-xxxx.jar
模拟测试一下这种方式:
测试结果:
