如何保护 SpringBoot 配置文件中的敏感信息

╰半橙微兮° 2022-09-11 03:25 237阅读 0赞

![0D5F937FE12312312D81F17F.jpg][]

程序员的成长之路

互联网/程序员/技术/资料共享

[关注][Link 1]

阅读本文大概需要 2.8 分钟。

来自：*blog.csdn.net/jeikerxiao/article/details/96480136*

## 说明 ##

使用过SpringBoot配置文件的朋友都知道，资源文件中的内容通常情况下是明文显示，安全性就比较低一些。

打开`application.properties`或`application.yml`，比如 MySql登陆密码，Redis登陆密码以及第三方的密钥等等一览无余，这里介绍一个加解密组件，提高一些属性配置的安全性。

jasypt由一个国外大神写了一个springboot下的工具包，用来加密配置文件中的信息。

GitHub Demo地址

> https://github.com/jeikerxiao/spring-boot2/tree/master/spring-boot-encrypt

## 数据用户名和数据库密码加密为例 ##

### 1. 引入包 ###

查看最新版本可以到:

> https://github.com/ulisesbocchio/jasypt-spring-boot

<dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>2.1.0</version>
    </dependency>

### 2. 配置加/解的密码 ###

# jasypt加密的密匙
    jasypt:
      encryptor:
        password: Y6M9fAJQdU7jNp5MW

### 3. 测试用例中生成加密后的秘钥 ###

@RunWith(SpringRunner.class)
    @SpringBootTest
    public class DatabaseTest {
    
        @Autowired
        private StringEncryptor encryptor;
    
        @Test
        public void getPass() {
            String url = encryptor.encrypt("jdbc:mysql://localhost:3306/mydb?autoReconnect=true&serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=utf-8");
            String name = encryptor.encrypt("root");
            String password = encryptor.encrypt("123456");
            System.out.println("database url: " + url);
            System.out.println("database name: " + name);
            System.out.println("database password: " + password);
            Assert.assertTrue(url.length() > 0);
            Assert.assertTrue(name.length() > 0);
            Assert.assertTrue(password.length() > 0);
        }
    }

下面是输出加密字符串：

database url: 6Ut7iADnHS18cManoFJuNRQ5QEDfcho/F96SOhsHZdXlHYCa5PSrz6rk48I9eHB7qPp5AxDFBk9xi0I1hi6BJ0DSPYA9443gBAk5JDUxDufjUKsdh6knZJLNELmFJzYrDvCu4S0x22MYdZqJDLbyDUU2JcoezCvs156vmsPgU4A=
    database name: fmai72yGYKGlP6vTtX77EQ==
    database password: GPMG7FGV+EA9iGkC27u67A==

### 4. 将加密后的字符串替换原明文 ###

applicatioin.yml

server:
      port: 8080
    spring:
      # 数据库相关配置
      datasource:
        driver-class-name: com.mysql.cj.jdbc.Driver
        # 这里加上后缀用来防止mysql乱码,serverTimezone=GMT%2b8设置时区
        url: ENC(h20YiPrvNnuuTGjlrE1RVpudMuIQAS6ZPSVo1SPiYVyLen7/TWI5rXVRkStA3MDcoVHQCmLa70wYU6Qo8wwtnsmaXa5jykD3MNhAp5SGJxHsTG5u7tflPdnNmOufyhdsYPxBGWAgibYs9R7yBfrvtwBTRbe096APd3bnG3++Yro=)
        username: ENC(sT6BztXbJEa71eg3pPGYMQ==)
        password: ENC(MpSZFJ9ftq+3+VUANZjr0Q==)
      jpa:
        hibernate:
          ddl-auto: update
        show-sql: true
      # 返回的api接口的配置，全局有效
      jackson:
       # 如果某一个字段为null，就不再返回这个字段
        default-property-inclusion: non_null
        date-format: yyyy-MM-dd HH:mm:ss
        serialization:
          write-dates-as-timestamps: false
        time-zone: GMT+8
    # jasypt加密的密匙
    jasypt:
      encryptor:
        password: Y6M9fAJQdU7jNp5MW

> 注意: 上面的 `ENC()` 是固定写法.

## 附言 ##

### 部署时配置salt(盐)值 ###

为了防止salt(盐)泄露,反解出密码.可以在项目部署的时候使用命令传入salt(盐)值:

java -jar xxx.jar  -Djasypt.encryptor.password=Y6M9fAJQdU7jNp5MW

或者在服务器的环境变量里配置,进一步提高安全性。学习资料：[Java进阶视频资源][Java]

打开`/etc/profile`文件

vim /etc/profile

在profile文件末尾插入salt(盐)变量

export JASYPT_PASSWORD = Y6M9fAJQdU7jNp5MW

编译，使配置文件生效

source /etc/profile

运行

java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar

<END>

**推荐阅读：**

[通过Java技术手段，某程序员发现自己被绿了！][Java 1]

[SpringBoot 线程池，也太好用了叭！][SpringBoot]

最近面试BAT，整理一份面试资料《Java面试BATJ通关手册》，覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。

**获取方式：点个「****在看****」，点击上方小卡片，进入公众号后回复「****面试题****」领取，更多内容陆续奉上。**

朕已阅 ![95ebac72afd19776bf56dd2874f1401c.gif][]

[0D5F937FE12312312D81F17F.jpg]: /images/20220828/ed344a1c61c04e8fa3bbb5342bb3aafc.png
[Link 1]: https://mp.weixin.qq.com/s?__biz=MzUyNDkzNzczNQ%3D%3D&chksm=fa24f0bacd5379ac93d74ffebac826d2401fd494f82e900e5102a8bf968f108e4ec72a4ad548&idx=3&lang=zh_CN&mid=2247487442&scene=21&sn=61e758d4bf9f15a3419fd028146469a3&token=1854383306#wechat_redirect
[Java]: http://mp.weixin.qq.com/s?__biz=MzU2MTI4MjI0MQ%3D%3D&chksm=fc79b1b2cb0e38a498933a034926df45b51524b044762583488d498ae2112c06cf35d412fb3b&idx=2&mid=2247506972&scene=21&sn=790959d9ee2b74e0d0c8a0a5395bc665#wechat_redirect
[Java 1]: http://mp.weixin.qq.com/s?__biz=MzUyNDkzNzczNQ%3D%3D&chksm=fa275238cd50db2ea83a6a70084825c1f4a5bcb1221b8585f6866e7664750a91d3056b1b489c&idx=1&mid=2247511376&scene=21&sn=6599d669e3f79abc33f3cc17b1527bdb#wechat_redirect
[SpringBoot]: http://mp.weixin.qq.com/s?__biz=MzUyNDkzNzczNQ%3D%3D&chksm=fa275238cd50db2e4d0e3028e4078a90518f24aa60b405e709929c1eeabf01b441d5168f782d&idx=2&mid=2247511376&scene=21&sn=545d5353a776f18bb846fd650e9536d3#wechat_redirect
[95ebac72afd19776bf56dd2874f1401c.gif]: /images/20220828/a7822a25e887477680f5dca9695665b6.png