背景
-
對於配置中的密碼(DB, MQ, Redis等),甚至賬號,在生產環境下存明文,不安全,不專業,不合適。
-
一把插着鑰匙的鎖,能說它是安全的嗎?
操作流程
關於Jasypt
實現對配置項的加密,網絡上已經有很多這方面的資料,這裏簡要描述下步驟。
- 引入依賴
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>1.18</version>
</dependency>
- 生成密文
- 如果計算機上有項目用過
Jasypt
的,那麼在maven的倉庫目錄下會有Jasypt
的jar包。如果本地倉庫沒有,先下載jar包。在jar包所在目錄下打開cmd命令行,鍵入java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=you-guess algorithm=PBEWithMD5AndDES
最下面輸出的qN66aPx0SrcFulrPfmMXOw==
是密文,在接下來要放入配置文件。
- 修改已有的配置
在已有的明文配置文件中,修改Jasypt密碼相關配置。
spring:
datasource:
driverClassName: com.mysql.cj.jdbc.Driver
url: jdbc:mysql://localhost:3306/mp?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
username: root
password: ENC(qN66aPx0SrcFulrPfmMXOw==)
# 配置日誌
logging:
level:
root: info
com.heartsuit.dao: trace
pattern:
console: '%p%m%n'
# 加密密鑰
jasypt:
encryptor:
password: you-guess
上面的修改主要有:
Note: 生成的密文要用ENC()包起來,這是Jasypt
的要求。
- 測試修改後的配置
略(按照上述配置,應一切正常~~)
Note: 需要注意的是,用於生成加密後的密碼的密鑰不可放在配置文件或者代碼中,加密密鑰jasypt.encryptor.password=you-guess
可以對密文解密。因此,上述配置若在團隊內可見,沒什麼影響,但是如果配置文件萬一被放到了公網上,相當於把鑰匙插在鎖上,白加密了。。在生產環境下,建議去掉加密密鑰配置:
spring:
datasource:
driverClassName: com.mysql.cj.jdbc.Driver
url: jdbc:mysql://localhost:3306/mp?serverTimezone=Asia/Shanghai&characterEncoding=UTF-8&useSSL=false
username: root
password: ENC(qN66aPx0SrcFulrPfmMXOw==)
# 配置日誌
logging:
level:
root: info
com.heartsuit.dao: trace
pattern:
console: '%p%m%n'
僅去掉了:jasypt.encryptor.password=you-guess
,這裏jasypt.encryptor.password=you-guess
可以有兩種傳入方式:
- 通過服務啓動參數
java -jar xxx.jar --jasypt.encryptor.password=you-guess
- 通過系統環境變量
這個可以通過Idea IDE傳入(開發環境),或者實際的系統環境變量傳入(生產環境)。
Jasypt的加密與解密
通過Jasypt
命令行的方式生產密文密碼後,可以用Jasypt
提供的API進行解密,當然,也可以用API的方式來完成加密。
- 加密與解密
@Component
public class StringEncryptDecrypt {
@Autowired
StringEncryptor encryptor;
public String encrypt(String plainText) {
// Encrypt
String encrypted = encryptor.encrypt(plainText);
System.out.println("Encrypted: " + encrypted);
return encrypted;
}
public String decrypt(String encrypted) {
// Decrypt
String decrypted = encryptor.decrypt(encrypted);
System.out.println("Decrypted: " + decrypted);
return decrypted;
}
}
總結
實現對配置文件敏感數據的加密,網上資源很多,但一定要注意安全性,不可以把公鑰共開配置在文件中;還是開頭那句話:
一把插着鑰匙的鎖,能說它是安全的嗎?
Source Code: Github
Reference: https://github.com/ulisesbocchio/jasypt-spring-boot
If you have any questions or any bugs are found, please feel free to contact me.
Your comments and suggestions are welcome!