SpringBoot MySQL密码等敏感信息加密方案(2021.04.27)

• SpringBoot MySQL密码等敏感信息加密方案(2021.04.27)
  • 一、背景说明
  • 二、解决方案
  • 三、使用方法
    • • • • 1. 引入 Maven 依赖
          • 2. 在配置文件添加 Jasypt 的相关配置；
          • 3. 生成加密后的密钥
          • 4. 替换数据库密码
          • 5. 启动测试

一、背景说明

SpringBoot 项目经常将连接数据库的密码明文放在配置文件里，安全性就比较低，尤其一些企业对安全性要求很高，因此我们就考虑如何对密码等敏感信息进行加密。

二、解决方案

通过 Jasypt 对密码等敏感信息进行加密。Jasypt 是一个简单易用的加解密 Java 库，可以快速的集成到 Spring 和 SpringBoot 项目中，并提供了自动配置，使用非常简单。

三、使用方法

下面以 SpringBoot、MySQL、Mybatis 来演示 Jasypt 库的集成。

1. 引入 Maven 依赖

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.3</version>
</dependency>

2. 在配置文件添加 Jasypt 的相关配置；

jasypt:
  encryptor:
    # 加密的盐值，为了安全，该配置可以放在启动参数或者命令行参数中
    password: fa7bd4edd42448aea8c9484fbce6e8cd
    # 加密所采用的算法
    algorithm: PBEWITHHMACSHA512ANDAES_256

3. 生成加密后的密钥

方案一：采用单元测试生成加密后的密钥；

package com.xiaoqqya.controller;

import org.jasypt.encryption.StringEncryptor;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;

import javax.annotation.Resource;
import java.util.UUID;

/**
 * Description.
 *
 * @author <a href="mailto:xiaoQQya@126.com">xiaoQQya</a>
 * @version 1.0
 * @date 2021/04/20
 * @since 1.8
 */
@SpringBootTest(classes = com.xiaoqqya.JasyptDemoApplication.class)
public class Demo {

    @Resource
    StringEncryptor encryptor;

    @Test
    public void encrypt() {
        String url = encryptor.encrypt("jdbc:mysql://ubuntu:3306/jasypt?useUnicode=true&characterEncoding=utf8&serverTimezone=UTC");
        String username = encryptor.encrypt("root");
        String pwd = encryptor.encrypt("password");
        System.out.println("url = " + url);
        System.out.println("username = " + username);
        System.out.println("pwd = " + pwd);
    }
}

方案二：采用命令行生成加密后的密钥；

# 在 Maven 仓库中找到 jasypt-1.9.3.jar 包
$ cd C:\Users\Joey\.m2\repository\org\jasypt\jasypt\1.9.3

# input 为明文密码，password 为加密盐值，algorithm为算法
$ java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password="fa7bd4edd42448aea8c9484fbce6e8cd"

4. 替换数据库密码

ENC() 为固定格式，() 里面为加密后的密钥。

spring:
  datasource:
    url: ENC(RSSEciOYx39dlPxCWeP46RZG1wkgtuPMgaZu2XgnrPluvHcAIzIEW79K1j9WIWLVHPbBpb6t1ehiiTiQGnzR1CFvrFm16bE0koyh/8exbh1ulYkfaSdBOivNHIF6CSxPy54vmxn3LaXug6ZYxfNBymQINbRa2fsXxlHT+TgvKqs=)
    username: ENC(YkJGWv80AEpPREn3Rt2Ic6BzzO+v+3m5Uy/r33pz4ZbZbD3vhi7vJz9nwGHKg8+n)
    password: ENC(4lEHAy//ExXjJxN9WQgyqgAjSkzIJ3irTYTYG8so6HgZWxPRl6Pa8tCUK/qmXSYb)
    driver-class-name: com.mysql.cj.jdbc.Driver

5. 启动测试

# 将盐值放在启动参数中
$ java -jar target/jasypt-demo-0.0.1-SNAPSHOT.jar --jasypt.encryptor.password=fa7bd4edd42448aea8c9484fbce6e8cd

# 将盐值放在命令行参数中
$ java -Djasypt.encryptor.password=fa7bd4edd42448aea8c9484fbce6e8cd -jar target/jasypt-demo-0.0.1-SNAPSHOT.jar

# 也可以将盐值放在系统环境变量中，此处不再展示