我們來看看這個設定:
spring: # 数据库链接配置 datasource: url: jdbc:mysql://xx.xx.xx.xx:3306/database driver-class-name: com.mysql.cj.jdbc.Driver username: root password: "123456"
我們上述的設定spring.datasource.password
對應的值為123456
,這麼敏感的資訊直接放在設定檔中很不合適,我們要做的就是對應的值改成一個加密的密文,如下:
spring: # 数据库链接配置 datasource: url: jdbc:mysql://xx.xx.xx.xx:3306/database driver-class-name: com.mysql.cj.jdbc.Driver username: root password: "AES(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"
這樣的話,即使該設定檔被有心之人拿去,也不知道真正的資料庫密碼是啥,也就無法構成對專案的侵害風險;
我們為了實現這個功能,需要了解 Spring
的相關擴展點以及對應的資料加解密知識,我們先來看看我們應該透過Spring
的哪個擴展點進行切入;
我們想要攔截配置資料的話,可以透過實作自訂的BeanFactoryPostProcessor
來處理:
public class PropertySourcePostProcessor implements BeanFactoryPostProcessor { private ConfigurableEnvironment environment; public PropertySourcePostProcessor(ConfigurableEnvironment environment) { this.environment = environment; } @Override public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException { // 从ConfigurableEnvironment中取出所有的配置数据 MutablePropertySources propertySources = this.environment.getPropertySources(); propertySources.stream() // 过滤不需要包装的对象 .filter(s -> !noWrapPropertySource(s)) // 包装所有的PropertySource .map(s -> new EncryPropertySource(s)) .collect(Collectors.toList()) // 替换掉propertySources中的PropertySource .forEach(wrap -> propertySources.replace(wrap.getName(), wrap)); } private boolean noWrapPropertySource(PropertySource propertySource) { return propertySource instanceof EncryPropertySource || StringUtils.equalsAny(propertySource.getClass().getName(), "org.springframework.core.env.PropertySource$StubPropertySource", "org.springframework.boot.context.properties.source.ConfigurationPropertySourcesPropertySource"); } }
基本原理解析如下:
1.透過ConfigurableEnvironment
取出所有的PropertySource
並依序遍歷;
2.過濾掉不符合我們要求的PropertySource
,因為PropertySource
有很多子類,並不是所有的PropertySource
實例都符合我們包裝的要求;
3.對符合要求的PropertySource
做一層包裝,其實就是靜態代理;
4.用包裝好的PropertySource
替換掉之前的PropertySource
實例;
透過上述一系列的操作,我們就可以在PropertySource
取值的時候做一些自訂的操作了,例如針對密文密碼進行解密;
剩下的另一個問題就是加解密的問題,密碼學裡面有對稱加密和非對稱加密,這兩種加密方式的差異就是對稱加密的加密解密都需要同一個金鑰,而非對稱加密加密的時候需要公鑰,解密的時候需要私鑰;
了解了對稱加密與非對稱加密的區別,如果我們使用的是對稱加密,那麼一定要避免密文和金鑰放在同一個地方;非對稱加密
一定要避免密文和私鑰放在同一個地方;
接下來我們要介紹一款專門針對這個需求的jar
工具,它就是jasypt
,我們可以去maven
倉庫找到相關的套件:
<dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.5</version> </dependency>
它的實作原理其實就是我們上面所講述的,透過自訂BeanFactoryPostProcessor
對ConfigurableEnvironment
中的PropertySource
實例進行攔截包裝,在包裝類別的實作上做一層解密操作,這樣就實作了對密文密碼的解密;
導入上述依賴後,該工具就已經自動生效了,我們就可以修改對應的配置了,首先我們先針對該工具做一些配置:
jasypt: encryptor: # 密钥 password: "" property: # 密文前缀 prefix: "" # 密文后缀 suffix: ""
在上述配置中,jasypt.encryptor.password
是一定要配置的,這就是加解密的金鑰,預設的加密演算法是PBEWITHHMACSHA512ANDAES_256
;另外jasypt.encryptor.property.prefix
和jasypt.encryptor.property.suffix
jasypt. #分別是密文前綴和密文後綴,是用來標註需要解密的密文的,如果不配置,預設的密文前綴是
ENC(,密文後綴是
)
spring: datasource: password: "ENC(DzANBAhBWXxZqAOsagIBCoaw8FV4gYRbid7G70UEM24=)"
還有一個需要注意的點就是
jasypt.encryptor.password不能與密文放在一起,我們可以在專案當中透過系統屬性、命令列參數或環境變數傳遞;實作自訂加解密#如果
jasypt
@Bean("jasyptStringEncryptor") public StringEncryptor jasyptStringEncryptor(){ return new StringEncryptor() { @Override public String encrypt(String s) { // TODO 加密 return null; } @Override public String decrypt(String s) { // TODO 解密 return null; } }; }
注意我們的
BeanName,預設情況下一定要設定成
jasyptStringEncryptor,否則不會生效,如果想要改變這個
BeanName,也可以透過修改這個設定參數來自訂
StringEncryptor實例所對應的
BeanName:jasypt: encryptor: # 自定义StringEncryptor的BeanName bean: ""
生成密文的這個操作還是要自個兒透過呼叫
StringEncryptor
@Component public class StringEncryptorUtil{ @Autowired private StringEncryptor encryptor; public void encrypt(){ String result = encryptor.encrypt("123456"); System.out.println(result); } }
以上是Springboot如何實現對設定檔中的明文密碼加密的詳細內容。更多資訊請關注PHP中文網其他相關文章!