Springboot实现对配置文件中的明文密码加密

素颜马尾好姑娘i 2024-03-25 19:26 38阅读 0赞

### 前言 ###

我们在`SpringBoot`项目当中，会把数据库的用户名密码等配置直接放在`yaml`或者`properties`文件中，这样维护数据库的密码等敏感信息显然是有一定风险的，如果相关的配置文件被有心之人拿到，必然会给项目造成一定的安全风险；所以为了避免明文密码被直接看到，我们有必要给这些敏感信息做一层加密处理，也就是说，我们的配置文件中配置的都是加密后的密码，在真正需要获取密码的时候再解密出来，这样的话就能很大程度上降低密码被泄漏的风险；

### 示例展示 ###

我们来看一下这个配置：

spring:
      # 数据库链接配置
      datasource:
        url: jdbc:mysql://xx.xx.xx.xx:3306/database
        driver-class-name: com.mysql.cj.jdbc.Driver
        username: root
        password: "123456"
    复制代码

我们上述的配置`spring.datasource.password`对应的值为`123456`，这么敏感的信息直接放在配置文件中很不合适，我们要做的就是对应的值改成一个加密的密文，如下：

spring:
      # 数据库链接配置
      datasource:
        url: jdbc:mysql://xx.xx.xx.xx:3306/database
        driver-class-name: com.mysql.cj.jdbc.Driver
        username: root
        password: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"
    复制代码

这样的话，即使该配置文件被有心之人拿去，也不知道真正的数据库密码是啥，也就无法构成对项目的侵害风险；

### 原理解析 ###

我们为了实现这个功能，需要了解`Spring`的相关扩展点以及对应的数据加解密知识，我们先来看看我们应该通过`Spring`的哪个扩展点进行切入；

我们想要拦截配置数据的话，可以通过实现自定义的`BeanFactoryPostProcessor`来处理：

public class PropertySourcePostProcessor implements BeanFactoryPostProcessor {
    
      private ConfigurableEnvironment environment;
    
      public PropertySourcePostProcessor(ConfigurableEnvironment environment) {
        this.environment = environment;
      }
    
      @Override
      public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {
        // 从ConfigurableEnvironment中取出所有的配置数据
        MutablePropertySources propertySources = this.environment.getPropertySources();
        propertySources.stream()
            // 过滤不需要包装的对象
            .filter(s -> !noWrapPropertySource(s))
            // 包装所有的PropertySource
            .map(s -> new EncryPropertySource(s))
            .collect(Collectors.toList())
            // 替换掉propertySources中的PropertySource
            .forEach(wrap -> propertySources.replace(wrap.getName(), wrap));
      }
    
      private boolean noWrapPropertySource(PropertySource propertySource) {
        return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource", "org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource");
      }
    }
    复制代码

基本原理解析如下：

> 1.通过`ConfigurableEnvironment`取出所有的`PropertySource`并依次遍历；
> 
> 2.过滤掉不符合我们要求的`PropertySource`，因为`PropertySource`有很多子类，并不是所有的`PropertySource`实例都符合我们包装的要求；
> 
> 3.对符合要求的`PropertySource`做一层包装，其实就是静态代理；
> 
> 4.用包装好的`PropertySource`替换掉之前的`PropertySource`实例；

通过上述一系列的操作，我们就可以在`PropertySource`取值的时候做一些自定义的操作了，比如针对密文密码进行解密；

剩下的另一个问题就是加解密的问题，密码学里面有`对称加密`和`非对称加密`，这两种加密方式的区别就是`对称加密`的加密解密都需要同一个密钥，而`非对称加密`加密的时候需要公钥，解密的时候需要私钥；

了解了`对称加密`与`非对称加密`的区别，如果我们使用的是`对称加密`，那么一定要避免密文和密钥放在同一个地方；`非对称加密`一定要避免密文和私钥放在同一个地方；

### 工具介绍 ###

接下来我们要介绍一款专门针对这个需求的`jar`工具，它就是`jasypt`，我们可以去`maven`仓库找到相关的包：

<dependency>
                <groupId>com.github.ulisesbocchio</groupId>
                <artifactId>jasypt-spring-boot-starter</artifactId>
                <version>3.0.5</version>
            </dependency>
    复制代码

它的实现原理其实就是我们上面所讲述的，通过自定义`BeanFactoryPostProcessor`对`ConfigurableEnvironment`中的`PropertySource`实例进行拦截包装，在包装类的实现上做一层解密操作，这样就实现了对密文密码的解密；

导入上述依赖后，该工具就已经自动生效了，我们就可以修改对应的配置了，首先我们先针对该工具做一些配置：

jasypt:
      encryptor:
        # 密钥
        password: ""
        property:
          # 密文前缀
          prefix: ""
          # 密文后缀
          suffix: ""
    复制代码

在上述配置中，`jasypt.encryptor.password`是一定要配置的，这就是加解密的密钥，默认的加密算法是`PBEWITHHMACSHA512ANDAES_256`；另外`jasypt.encryptor.property.prefix`和`jasypt.encryptor.property.suffix`分别是密文前缀和密文后缀，是用来标注需要解密的密文的，如果不配置，默认的密文前缀是`ENC(`，密文后缀是`)`；默认情况下，我们的密文如下所示：

spring:
      datasource:
        password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"
    复制代码

**还有一个需要注意的点就是`jasypt.encryptor.password`不能与密文放在一起**，我们可以在项目当中通过系统属性、命令行参数或环境变量传递；

#### 实现自定义加解密 ####

如果`jasypt`提供的加解密方式不能满足咱们的项目需求，我们还可以自己实现加解密：

@Bean("jasyptStringEncryptor")
      public StringEncryptor jasyptStringEncryptor(){
        return new StringEncryptor() {
          @Override
          public String encrypt(String s) {
            // TODO 加密
            return null;
          }
    
          @Override
          public String decrypt(String s) {
            // TODO 解密
            return null;
          }
        };
      }
    复制代码

注意我们的`BeanName`，默认情况下一定要设置成`jasyptStringEncryptor`，否则不会生效，如果想要改变这个`BeanName`，也可以通过修改这个配置参数来自定义`StringEncryptor`实例所对应的`BeanName`：

jasypt:
      encryptor:
        # 自定义StringEncryptor的BeanName
        bean: ""
    复制代码

#### 如何生成密文 ####

生成密文的这个操作还是要自个儿通过调用`StringEncryptor`实例来加密生成，可以参考以下代码：

@Component
    public class StringEncryptorUtil{
      @Autowired
      private StringEncryptor encryptor;
      
      public void encrypt(){
        String result = encryptor.encrypt("123456");
        System.out.println(result);
      }
    }
    复制代码

毕竟需要加密的操作只需要在项目生命周期中执行一次，所以我们只需要简单地写一个工具类调用一下即可；