,回復關鍵字「spring」,在之前的系列教程中,我們已經介紹了非常多關於Spring Boot配置文件中的各種細節用法,比如:參數間的引用、隨機數的應用、命令行參數的使用、多環境的配置管理等等(具體可見本教程首頁:https://blog.didispace.com/spring-boot-learning-2x/)。
這些配置相關的知識都是Spring Boot原生就提供的,而今天我們將介紹的功能並非Spring Boot原生就支持,但卻非常有用:配置內容的加密。
為什麼要加密?可能很多初學者,對於配置信息的加密並不敏感,因為開始主要接觸本地的開發,對於很多安全問題並沒有太多的考慮。而現實中,我們的配置文件中,其實包含着大量與安全相關的敏感信息,比如:數據庫的賬號密碼、一些服務的密鑰等。這些信息一旦泄露,對於企業的重要數據資產,那是相當危險的。所以,對於這些配置文件中存在的敏感信息進行加密,是每個成熟開發團隊都一定會去的事。
如果您是DD的老讀者,也許馬上會想到Spring Cloud Config就提供配置的加密功能,之前在我的Spring Cloud系列教程和《Spring Cloud微服務實戰》一書中都有詳細的介紹,感興趣的話可以點擊《Spring Cloud構建微服務架構:分布式配置中心(加密解密)》(https://blog.didispace.com/spring-cloud-starter-dalston-3-2/)一探究竟。
既然以前寫過類似內容,那為什麼還要寫呢?因為並不是所有的開發場景都會搭建Spring Cloud的那套基礎設施,同時也不一定會使用Spring Cloud Config作為配置中心。所以,本文主要說說,當我們只使用Spring Boot的時候,如何實現對配置中敏感信息的加密。
動手試試下面我們將使用https://github.com/ulisesbocchio/jasypt-spring-boot這個開源項目提供的實現和插件,來幫助我們輕鬆的完成配置信息的加密。
趕緊跟着我下面的步驟動手試試吧!
第一步:創建一個基礎的Spring Boot項目(如果您還不會,可以參考這篇文章:快速入門(https://blog.didispace.com/spring-boot-learning-21-1-1/)
第二步:設計一個參數和單元測試,用來輸出這個配置信息
準備加密的配置:
datasource.password=didispace.com用來輸出配置信息的單元測試:
@Slf4j@SpringBootTestpublicclassPropertiesTest{@Value("${datasource.password:}")privateStringpassword;@Testpublicvoidtest(){log.info("datasource.password:{}",password);}}執行這個單元測試,會輸出:
2021-08-1322:28:45.506INFO70405---[main]com.didispace.chapter15.PropertiesTest:datasource.password:didispace.com這裡還沒開始加密,下面我們開始引入加密的操作!
第三步:在pom.xml中引入jasypt提供的Spring Boot Starter
<dependency><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-spring-boot-starter</artifactId><version>3.0.3</version></dependency>在插件配置中加入:
<plugin><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-maven-plugin</artifactId><version>3.0.3</version></plugin>第四步:在配置文件中加入加密需要使用的密碼
jasypt.encryptor.password=didispace同時,修改要加密的內容,用DEC()將待加密內容包裹起來,比如:
datasource.password=DEC(didispace.com)第五步:使用jasypt-maven-plugin插件來給DEC()包裹的內容實現批量加密。
在終端中執行下面的命令:
mvnjasypt:encrypt-Djasypt.encryptor.password=didispace注意:這裡-Djasypt.encryptor.password參數必須與配置文件中的一致,不然後面會解密失敗。
執行之後,重新查看配置文件,可以看到,自動變成了
datasource.password=ENC(/AL9nJENCYCh9Pfzdf2xLPsqOZ6HwNgQ3AnMybFAMeOM5GphZlOK6PxzozwtCm+Q)jasypt.encryptor.password=didispace其中,ENC()跟DEC()一樣都是jasypt提供的標識,分別用來標識括號內的是加密後的內容和待加密的內容。
如果當前配置文件已經都是ENC()內容了,那麼我們可以通過下面的命令來解密配置文件,查看原始信息:
mvnjasypt:decrypt-Djasypt.encryptor.password=didispace該操作不會修改配置文件,只會在控制台輸出解密結果,比如:
datasource.password=DEC(didispace.com)jasypt.encryptor.password=didispace第六步:此時,我們的配置文件中的敏感信息已經被ENC()修飾了,再執行一下單元測試,不出意外的話,依然可以得到之前一樣的結果:
2021-08-1322:50:00.463INFO76150---[main]com.didispace.chapter15.PropertiesTest:datasource.password:didispace.com而此時,配置文件中已經是加密內容了,敏感信息得到了保護。
注意:如果在嘗試的時候,出現報錯:DecryptionException: Unable to decrypt,具體可見:https://blog.didispace.com/jasyptspringboot-decryption-exception/。
本系列教程《Spring Boot 2.x基礎教程》點擊直達! ,歡迎收藏與轉發!如果學習過程中如遇困難?可以加入我們Spring技術交流群 ,參與交流與討論,更好的學習與進步!
進一步思考根據上面的步驟,愛思考的你,也許會發現這樣的問題:雖然敏感信息是加密了,但是我們通過配置文件也能看到jasypt.encryptor.password信息,我們是不是通過利用這個再把原始信息解密出來,這樣的話豈不是還是不安全?
上面的實現方式的確是會有這樣的問題!所以,在實際應用的過程中,jasypt.encryptor.password的配置,可以通過運維小夥伴在環境變量或啟動參數中注入,而不是由開發人員在配置文件中指定。
同時,為了應對更高的安全要求,jasypt也提供自定義的加密解密方式,這裡就不做具體展開了,有興趣的小夥伴可以前往jasypt的倉庫查看使用細節。
代碼示例本文的完整工程可以查看下面倉庫中2.x目錄下的chapter1-5工程:
如果您覺得本文不錯,歡迎Star支持,您的關注是我堅持的動力!
END
關注後端面試那些事,回復【2022面經】
獲取最新大廠Java面經
,回復關鍵詞:加群,拉你進群。
留言列表