加密Spring Boot项目中配置文件的明文密码

墨蓝 2023-07-23 14:58 4阅读 0赞

### 文章目录 ###

*  加密Spring Boot项目中配置文件的明文密码
 *   *  添加依赖和插件
     *  使用jasypt加密过程
     *  小结
     *  参考文档

# 加密Spring Boot项目中配置文件的明文密码 #

如果不想在Spring Boot项目配置文件存储明文密码（比如MySQL密码、Redis密码等），一种简单的方法的方法是运行Spring Boot应用时以注入环境变量的方式来注入密码，另外一种就是在配置文件中加密存储明文密码。

本文讲解了通过[jasypt-spring-boot][] 加密Spring Boot项目中配置文件的明文密码。

## 添加依赖和插件 ##

添加`jasypt-spring-boot-starter`依赖：

<dependency>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-spring-boot-starter</artifactId>
        <version>3.0.2</version>
    </dependency>

添加`jasypt-maven-plugin`插件：

<plugin>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-maven-plugin</artifactId>
        <version>3.0.2</version>
    </plugin>

## 使用jasypt加密过程 ##

以加密MySQL密码为例。

加密前配置，MySQL密码以明文存储：

使用`jasypt-maven-plugin`插件加密明文密码：

mvn jasypt:encrypt-value -Djasypt.encryptor.password="JasyPt@123" -Djasypt.plugin.value="test123" -Djasypt.encryptor.algorithm="PBEWithMD5AndDES"

*  `jasypt.encryptor.password` 是秘钥，尽量复杂！不能放在代码和配置文件里面！不能泄漏！
 *  `jasypt.plugin.value` 是要加密的明文密码
 *  `jasypt.encryptor.algorithm`默认加密算法是PBEWITHHMACSHA512ANDAES\_256，需要有JCE（Java Cryptography Extension）支持，如果不想安装JCE，可以使用PBEWithMD5AndDES算法。

加密后的密码类似：

ENC(x5cSG923AtAKstkN5s4TuAHm2/Sw5vP4)

加密后配置：

spring.datasource.url=jdbc:mysql://${MYSQL_HOST:localhost}:3306/test_db?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8
    spring.datasource.username=springuser
    spring.datasource.password=ENC(x5cSG923AtAKstkN5s4TuAHm2/Sw5vP4)
    jasypt.encryptor.algorithm=PBEWithMD5AndDES
    jasypt.encryptor.password=${JASYPT_ENCRYPTOR_PASSWORD}

> 因为使用的不是默认的加密算法，因此需要指定`jasypt.encryptor.algorithm`

启动Spring Boot应用时传入`JASYPT_ENCRYPTOR_PASSWORD`环境变量作为秘钥：

*  在Linux中，可以在`~/.bashrc`中定义：

export JASYPT_ENCRYPTOR_PASSWORD=JasyPt@123

*  在Intellij IDEA中，可以在Run Configuration的Environment variables 中定义：

JASYPT_ENCRYPTOR_PASSWORD=JasyPt@123

## 小结 ##

如果只看加密MySQL密码的例子，还体现不出这种做法的好处。但是当配置文件中有多个密码、Token等需要加密时，这个方法就比较方便了。

除了支持字符串秘钥，jasypt还支持key文件秘钥，更加安全。

在安全要求很高时，还可以使用使用jasypt默认的PBEWITHHMACSHA512ANDAES\_256加密算法，该算法需要安装JCE支持。

## 参考文档 ##

*  [https://github.com/ulisesbocchio/jasypt-spring-boot-samples][https_github.com_ulisesbocchio_jasypt-spring-boot-samples]
 *  [https://www.cnblogs.com/zhangjianbing/p/9184083.html][https_www.cnblogs.com_zhangjianbing_p_9184083.html]

[jasypt-spring-boot]: https://github.com/ulisesbocchio/jasypt-spring-boot
[https_github.com_ulisesbocchio_jasypt-spring-boot-samples]: https://github.com/ulisesbocchio/jasypt-spring-boot-samples
[https_www.cnblogs.com_zhangjianbing_p_9184083.html]: https://www.cnblogs.com/zhangjianbing/p/9184083.html