SpringBoot中的配置文件信息加密

0.背景

在SpringBoot项目中,有的配置文件信息比较敏感,比如数据库的密码信息等,直接以明文的形式写在配置文件中或许并不安全.

1.步骤

1.1 pom文件

依赖中加入

        <!-- 配置加密 -->
        <dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>3.0.4</version>
        </dependency>

插件中加入

注意此处的 configuration节点,默认是项目的properties文件,你没移动位置可以去掉这个节点,这里我配置文件自定义了新路径.

            <plugin>
                <groupId>com.github.ulisesbocchio</groupId>
                <artifactId>jasypt-maven-plugin</artifactId>
                <version>3.0.4</version>
                <configuration>
                    <path>file:./config/application.yml</path>
                </configuration>
            </plugin>

1.2 配置文件修改

将要加密的信息用DEC()包裹,即DEC(待加密信息),例如:

# 原来的加密信息
yang.password=admin123
# 修改为
yang.password=DEC(admin123)

1.3 mvn命令加密文件

password=后为密码,注意没有""包裹,你写了"的话,那么你的密码也包括",下方示例为设置密码为yang37

mvn jasypt:encrypt -Djasypt.encryptor.password=yang37

执行该条mvn命令后,配置文件中的对应部分的信息会自动更改为:

yang.password=ENC(加密的结果)

好,到此这一小节目的达到了,你可以不用看这节剩下的内容.

1.3.1 扩展1: 变回去明文

如果你想要变回去原文,执行下面这个命令:

mvn jasypt:decrypt -Djasypt.encryptor.password=yang37

这时配置信息会打印在控制台,不会再次把配置文件给你改回去,你可以手动复制过去(打印的是配置文件全文).

1.3.2 扩展2: 咋感觉作者ENC、DEC写反了?

不要曲解作者的设计意图.

encrypt:加密

decrypt:解密

我认为设计者的意图是,ENC-密文,DEC-明文,代码写多了老下意识的认为DEC()这个是解密方法...还难受里面不是密文串,其实改成{}、[]之类的我比较好接受.

1.3.3 扩展3: mvn在哪执行

idea里面直接点这个.

1.3.4 手动计算密文

如果你闲的慌,不想用maven插件...你可以去掉那个pom的那个plugin,然后直接手动写代码计算加密值,参考代码.

   		BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
        textEncryptor.setPassword("密码");
        String res = textEncryptor.encrypt("待加密值");

上面的res就是你加密的结果,还需要你手动替换配置文件里面的对应的配置信息.

yang.password=ENC(加密的结果)

1.4 项目启动

解密总要密文串吧?你刚才是手动执行命令输入的密码,项目中的密码从哪来?

方案多种,反正目的就是为了让程序知道你的密码是啥,下面列举两种.

1.4.1 直接启动

java -jar xx.jar --jasypt.encryptor.password=你的密码

1.4.2 利用环境变量

配置文件中编写下面的信息:

# 配置加密
jasypt:
  encryptor:
    password: 你的密码

你肯定会疑惑,密码写这里我还加密干嘛...所以,我们要把密码换个地方存储.

这里我利用环境变量,取的名字叫BOOT_PWD,这个可以自定义,不是规定值.

所以我把上面的配置改成这样:

${环境变量名:默认值}

# 配置加密
jasypt:
  encryptor:
    password: ${BOOT_PWD:get valueEnv error!}

1.4.2.1 Linux中

编辑当前用户的环境变量

vim ~/.bash_profile

末尾追加环境变量值

这个BOOT_PWD可以自己定义,不是规定值.

export BOOT_PWD=yang37

保存后刷新配置

source ~/.bash_profile

可以用echo命令看看生效没

echo $BOOT_PWD

设置好环境变量后直接启动即可,不需要再带上面那个jasypt.encryptor.password参数.

1.4.2.2 win中

新建的时候变量值直接写密码就行,没有特殊格式.

编辑好了记得重启你的IDE,新加的这个环境变量才会加载进来.

设置好环境变量后直接启动即可,不需要再带上面那个jasypt.encryptor.password参数.

1.5 验证

如果你放心解密有没有成功,可以在启动类打印下信息,我的demo代码.

package cn.yang37.demo;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.core.env.ConfigurableEnvironment;


@SpringBootApplication
public class DemoApplication {

    private static final Logger log = LoggerFactory.getLogger(DemoApplication.class);

    public static void main(String[] args) {
        ConfigurableEnvironment environment = SpringApplication.run(DemoApplication.class, args).getEnvironment();

        // 获取环境变量中的 BOOT_PWD
        String boot_pwd = environment.getProperty("BOOT_PWD");
        // 上面run方法执行完成,项目启动,配置文件中有个配置值vxPush.admin.appToken也加载进去了,注意启动完已经给你解密好了.
        String appToken = environment.getProperty("vxPush.admin.appToken");

        log.info("配置文件密码: {}", boot_pwd);
        log.info("配置文件解密测试 - appToken: {}", appToken);

        log.info("\nvx-pusher run success ...\n");
    }

}