Java 中如何加密配置文件中的数据库账号和密码?

开发 前端
后续在生产环境中,只需要在启动参数中传入与本地和测试环境不一样的秘钥,就可以有效的防止数据库的账号密码被泄露了,就连开发人员都不知道是什么,只要配置的运维人员知道,这个安全性就高很多了,怎么样小伙伴你学会了吗?

作为程序员每天的开发工作都离不开跟数据库打交道,而且我们的应用程序往往都会配置数据库的链接,那你有没有想过,任何一个能接触到我们项目代码的人员,都可以看到配置文件里面的账号秘密?

相信很多人的项目里面配置文件都是类似这样写的

############### Mysql配置 #########################
spring.datasource.type=com.zaxxer.hikari.HikariDataSource
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/abc?useUnicode=true&characterEncoding=utf-8&useTimezone=true&serverTimezone=GMT%2B8
spring.datasource.username=root
spring.datasource.password=123456

spring.datasource.url 中配置了数据库的链接地址和端口,spring.datasource.username 配置了账号以及spring.datasource.password 中配置了密码。

如果是这样的写法,无非就是在裸奔,任何一个能接触到这个文件的人,都能够用 MySQL 的客户端工具进行数据库的链接,里面的数据毫无安全可言。当然如果是本地或者测试环境都还可以,但是对于生产环境那是不能接受的,毕竟这样的安全性太差了,一不小心被删库跑路还是有可能的。

相对而言,有一些经验的数据库运维人员是不会直接提供数据库服务的 IP 地址和端口的,而是提供域名,通过在 url 地址上面配置相应的域名,然后通过解析域名让其访问数据库服务,域名地址是不对外解析的,所以生产环境的主机以及开发人员的本机,需要进行 hosts 的配置,将域名对应IP 地址配置起来。

这种方式会比上面直接裸奔的形式好一点,外人拿到代码,没有 hosts 配置也是不能访问数据库的,难度相对来说高了一点。但是这样也有个问题,那就是开发人员还是可以通过 MySQL 的客户端进行数据的访问,如果哪天心情不好,删库跑路也不是没有可能,或者说私自泄露数据也是有机会的。

那么很多小明就问了,有没有一种方式,可以有效的控制这种情况呢?让尽量少了人接触到数据库的数据,但是同时也不能影响开发的进度,对于开发要友好。

有问题,就会有答案,这个时候我们就需要介绍一款神器了,那就是 jasypt。jasypt 可以帮助我们在配置文件中配置加密后的账号和密码,然后结合秘钥,就可以完全控制数据库的安全性。下面我们就来试一下吧。

首先有一个需要连接数据库的 Spring Boot 服务,我们先看一下,在没有引入 jasypt 的时候,是如何使用的,代码如下:

############### Mysql配置 #########################
spring.datasource.type=com.zaxxer.hikari.HikariDataSource
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/abc?useUnicode=true&characterEncoding=utf-8&useTimezone=true&serverTimezone=GMT%2B8
spring.datasource.username=root
spring.datasource.password=123456

#客户端等待连接池连接的最大毫秒数
spring.datasource.hikari.connection-timeout=20000
#最小空闲连接数
spring.datasource.hikari.minimum-idle=5
#最大连接池大小
spring.datasource.hikari.maximum-pool-size=20
#连接池中空闲的最长时间毫秒
spring.datasource.hikari.idle-timeout=30000
#池中连接关闭后的最长生命周期毫秒
spring.datasource.hikari.max-lifetime=1200000
spring.datasource.hikari.auto-commit=true
spring.datasource.hikari.connection-test-query=SELECT 1

UserController.java

package com.controller;

import com.mapper.UserEntity;
import com.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Date;
import java.util.List;

@RestController
@EnableAutoConfiguration
@RequestMapping("/user")
public class UserController {

@Autowired
private UserMapper userMapper;

@RequestMapping("add")
public int addUser(String name, String desc) throws Exception {
int id, num = 0;
UserEntity u = new UserEntity(0, name, desc, new Date());
num = userMapper.insert(u);
id = u.getId();
return id;
}

@RequestMapping("getlist")
public List<UserEntity> listUser() throws Exception {
List<UserEntity> UserEntitys = userMapper.getAll();
System.out.println(UserEntitys.toString());
return UserEntitys;
}
}

UserMapper.java

package com.mapper;

import org.apache.ibatis.annotations.*;

import java.util.List;

/**
* @author ziyou
*/
public interface UserMapper {
/**
* 查询操作示例
*
* @return
*/
@Select("SELECT * FROM t_user;")
@Results({
@Result(property = "id", column = "Id"),
@Result(property = "Name", column = "Name"),
@Result(property = "Desc", column = "Desc"),
@Result(property = "CreateTime", column = "CreateTime")
})
List<UserEntity> getAll();

/**
* 插入操作示例
* 将自增ID绑定到实体,keyProperty是实体字段,keyColumn是数据库字段
*
* @param user
* @return
*/
@Insert("INSERT INTO t_user(`Name`,`Desc`,CreateTime) VALUES(#{Name}, #{Desc}, #{CreateTime});")
@Options(useGeneratedKeys = true, keyProperty = "id", keyColumn = "Id")
int insert(UserEntity user);

}

另外我们有一张表,表里面的数据是这样的,接下来我们启动服务,调用接口查询表的数据,如下所示

说明在使用明文账号密码的时候,整个流程是没有问题,接下来,我们引入 jasypt ,主要分下面三个步骤

1.引入 pom 依赖

<!--springboot整合jasypt-->
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>1.18</version>
</dependency>

2.编写加密工具类

public class JasyptUtil {

public static void main(String[] args) {
String account = "root";
String password = "123456";
BasicTextEncryptor encryptor = new BasicTextEncryptor();
//秘钥
//encryptor.setPassword(System.getProperty("jasypt.encryptor.password"));
encryptor.setPassword("eug83f3gG");
//密码进行加密
String newAccount = encryptor.encrypt(account);
String newPassword = encryptor.encrypt(password);
System.out.println("加密后账号:" + newAccount);
System.out.println("加密后密码:" + newPassword);
}
}

因为我们要得到加密后的密文,所以我们先需要根据原始账号密码,以及我们指定的秘钥来生成加密后的密文,这里我们假设本地和测试环境的秘钥为eug83f3gG,通过上面的工具类,我们可以生成如下的密文

3.替换账号密码,我们将 application.properties 里面的账号密码用上面的密文替换,如下所示,使用 ENC()包住密文。

############### Mysql配置 #########################
spring.datasource.type=com.zaxxer.hikari.HikariDataSource
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/abc?useUnicode=true&characterEncoding=utf-8&useTimezone=true&serverTimezone=GMT%2B8
spring.datasource.username=ENC(/YnTvPH7WnnqMHu+wKeccA==)
spring.datasource.password=ENC(Xv829RzVs7pd2sv72/wsbg==)

这里说明三点

  1. 此时我们还不能正常启动服务,因为就这样的话是启动不成功了,账号和密码是错误的,我们需要将秘钥传入,让jasypt 给我们反向解析出正确的账号和密码才能进行数据库的链接;
  2. 工具类中的秘钥保持跟生产环境不一样!!!
  3. 使用 ENC() 包住密文;

接下来我们可以将秘钥通过两种形式传进程序中使用,一种是将秘钥通过系统环境变量的形式进行配置,不过不建议;第二种是通过启动参数将秘钥进行传入;这里我们使用第二种,在 SpringBoot 项目的启动参数中,我们增加这样的配置 -Djasypt.encryptor.password=eug83f3gG,然后我们再重启应用,就可以启动成功了。

启动成功了再次访问上面的接口,可以看到效果是一样的。

后续在生产环境中,只需要在启动参数中传入与本地和测试环境不一样的秘钥,就可以有效的防止数据库的账号密码被泄露了,就连开发人员都不知道是什么,只要配置的运维人员知道,这个安全性就高很多了,怎么样小伙伴你学会了吗?赶紧在自己的项目中用起来吧!

责任编辑:武晓燕 来源: Java极客技术
相关推荐

2024-05-27 09:52:00

Nacos加密配置

2022-11-21 10:49:29

Nacos配置加密

2011-03-28 13:25:27

MySQL数据库哈希加密

2015-03-23 11:21:08

2019-11-22 10:00:53

ICC配置文件Windows 10

2020-08-14 07:42:33

数据库加密脱库

2011-04-07 09:06:27

MySQL数据库密码

2010-05-19 13:37:39

MySQL数据库密码

2010-04-26 13:23:49

Oracle数据库

2010-03-29 09:23:00

2018-01-26 13:28:48

数据库数据重复数据库清理

2009-03-23 10:05:02

配置管理数据库C#

2011-04-06 17:24:43

MySQL数据库复位根用户密码

2011-08-22 16:08:48

2018-01-02 08:47:59

SQLlite数据库附加分离

2020-12-13 17:57:16

加密密码Python

2016-06-21 10:40:54

云计算AWS

2017-12-13 14:41:45

2024-10-10 15:08:40

2009-02-09 12:52:32

文件加密Oracle数据库
点赞
收藏

51CTO技术栈公众号