摘要:所以這里我們就需要對(duì)數(shù)據(jù)庫的用戶名和密碼進(jìn)行加密����,這也是本文的由來。本文采用對(duì)配置文件加密的相關(guān)方法���,其實(shí)呢����,也還有其他方案,具體的會(huì)在后面的相關(guān)文章中說明����。
前言
在日前安全形勢(shì)越來越嚴(yán)重的情況下,讓我意識(shí)到在項(xiàng)目中存在一個(gè)我們經(jīng)常忽略的漏洞�����,那就是我們的項(xiàng)目的配置文件中配置信息的安全����,尤其是數(shù)據(jù)庫連接的用戶名和密碼的安全。所以這里我們就需要對(duì)數(shù)據(jù)庫的用戶名和密碼進(jìn)行加密��,這也是本文的由來�。本文采用Jasypt對(duì)Spring Boot配置文件加密的相關(guān)方法,其實(shí)呢���,也還有其他方案����,具體的會(huì)在后面的相關(guān)文章中說明�。
引入jasypt
com.github.ulisesbocchio
jasypt-spring-boot-starter
2.0.0
1.生成要加密的字符串
1.1 將數(shù)據(jù)庫的用戶名和密碼進(jìn)行加密
@Test
public void contextLoads() {
BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
//加密所需的salt(鹽)
textEncryptor.setPassword("1Qaz0oKm");
//要加密的數(shù)據(jù)(數(shù)據(jù)庫的用戶名或密碼)
String username = textEncryptor.encrypt("root");
String password = textEncryptor.encrypt("root");
System.out.println("username:"+username);
System.out.println("password:"+password);
}
輸出信息
username:NZmLHOOHX0SEjc285iG9YQ==
password:1JByM5wu5o+9H1Ba2o++Pg==
2019-06-14 14:55:49.863 INFO 8904 --- [ Thread-3] o.s.s.concurrent.ThreadPoolTaskExecutor : Shutting down ExecutorService "applicationTaskExecutor"
2019-06-14 14:55:49.863 INFO 8904 --- [ Thread-3] j.LocalContainerEntityManagerFactoryBean : Closing JPA EntityManagerFactory for persistence unit "default"
2019-06-14 14:55:49.863 INFO 8904 --- [ Thread-3] com.zaxxer.hikari.HikariDataSource : HikariPool-1 - Shutdown initiated...
2019-06-14 14:55:49.878 INFO 8904 --- [ Thread-3] com.zaxxer.hikari.HikariDataSource : HikariPool-1 - Shutdown completed.
1.2. 或者使用Maven下載好的jar包加密Mavenorgjasyptjasypt2.0.0jasypt-2.0.0.jar
java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI password=1Qaz0oKm algorithm=PBEWithMD5AndDES input=root
輸出信息
----ENVIRONMENT-----------------
Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.171-b11
----ARGUMENTS-------------------
input: root
algorithm: PBEWithMD5AndDES
password: 1Qaz0oKm
----OUTPUT----------------------
NZmLHOOHX0SEjc285iG9YQ==
拷貝-OUTPUT-下的結(jié)果即可
2.配置properties文件
將生成的加密串配置ENC(加密串)到application.properties中
server:
port: 8080
spring:
datasource:
url: jdbc:mysql://localhost:3306/test?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&useSSL=true
username: ENC(GHK23XVFNHoQQ97vIW523Q==)
password: ENC(aTKef0XcG05Cfzao92EqqQ==)
data-username: com.mysql.cj.jdbc.Driver
jpa:
show-sql: true
database-platform: org.hibernate.dialect.MySQL5InnoDBDialect
database: MYSQL
hibernate:
ddl-auto: update
jasypt:
encryptor:
password: 1Qaz0oKm #加密所需的salt(鹽)
#algorithm: PBEWithMD5AndDES # 默認(rèn)加密方式PBEWithMD5AndDES,可以更改為PBEWithMD5AndTripleDES
加密方式對(duì)應(yīng)的類為BasicTextEncryptor和StrongTextEncryptor
private final StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
public BasicTextEncryptor() {
this.encryptor.setAlgorithm("PBEWithMD5AndDES");
}
private final StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
public StrongTextEncryptor() {
this.encryptor.setAlgorithm("PBEWithMD5AndTripleDES");
}
3.部署時(shí)配置salt(鹽)值
1. 為了防止salt(鹽)泄露,反解出密碼.可以在項(xiàng)目部署的時(shí)候使用命令傳入salt(鹽)值
java -jar -Djasypt.encryptor.password=1Qaz0oKm xxx.jar
2. 或者在服務(wù)器的環(huán)境變量里配置,進(jìn)一步提高安全性
打開/etc/profile文件
vim /etc/profile
文件末尾插入
export JASYPT_PASSWORD = G0CvDz7oJn6
編譯
source /etc/profile
運(yùn)行
java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar
下面是一個(gè)我自己的具體實(shí)現(xiàn):https://github.com/eelve/jasypt,使用Jasypt對(duì)數(shù)據(jù)庫用信息加密后����,可以成功連接上數(shù)據(jù)庫
官方地址:https://github.com/ulisesbocchio/jasypt-spring-boot
文章版權(quán)歸作者所有����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/76060.html
