Spring Boot配置文件数据也可以轻松加密？

﹏ヽ暗。殇╰゛Y 2022-09-14 01:47 120阅读 0赞

在实践中，项目的某些配置信息是需要进行加密处理的，以减少敏感信息泄露的风险。比如，在使用Druid时，就可以基于它提供的公私钥加密方式对数据库的密码进行加密。

但更多时候，比如Redis密码、MQ密码等敏感信息，也需要进行加密，此时就没那么方便了。本篇文章给大家介绍一款Java类库Jasypt，同时基于Spring Boot项目来演示一下如何对配置文件信息进行加密。

## 一个简单的SpringBoot项目 ##

我们先来创建一个简单的Spring Boot项目，构建一个加密数据运用的场景。

无论通过Idea或官网等方式，先创建一个Spring Boot项目，核心依赖为：

<dependency>
    	<groupId>org.springframework.boot</groupId>
    	<artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    
    <dependency>
    	<groupId>org.projectlombok</groupId>
    	<artifactId>lombok</artifactId>
    </dependency>

创建一个配置文件类ConfigProperties：

@Data
    @Component
    public class ConfigProperties {
    
    	@Value("${conf.url}")
    	private String url;
    
    	@Value("${conf.password}")
    	private String password;
    
    }

配置文件中的配置属性注入到该类，以供后续使用。

创建一个Controller类，用来测试验证，是否能够正常运行：

@RestController
    @RequestMapping("/")
    public class ConfigController {
    
    	@Resource
    	private ConfigProperties configProperties;
    
    	@RequestMapping
    	public void print(){
    		System.out.println(configProperties.getUrl());
    		System.out.println(configProperties.getPassword());
    	}
    }

对应ConfigProperties类，application.properties中配置如下：

conf.url=127.0.0.1
    conf.password=admin123

此时，启动项目，访问Controller，能够正常打印出配置信息，说明程序可以正常运行。

但配置文件中直接明文展示了password项，如果别人看到该配置文件，就可能导致密码的泄露。

## 基于Jasypt的加密 ##

针对上述情况，通常，我们会对敏感信息进行加密，避免明文密码信息暴露，提升安全等级。

加密的基本思路是：配置文件中存储加密内容，在解析配置文件注入时进行解密。

但如果拿到项目源码，知道加密算法和秘钥，肯定是可以解密的。这里的加密，只是多一层安全防护，但并不是万能的。

下面看看如何基于Jasypt来进行加密处理。

## 集成步骤 ##

下面基于上述Spring Boot项目进行改造升级。

#### 环境准备 ####

不同版本的Jasypt使用方法有所不同，这里基于3.0.4版本、JDK8、Spring Boot 2.5.5来进行演示。

在使用之前，首先检查一下JDK8的JRE中是否安装了不限长度的JCE版本，否则在执行加密操作时会抛出解密失败的异常。

进入$JAVA\_HOME/jre/lib/security目录，查看是否包含local\_policy.jar和US\_export\_policy.jar两个jar包。如果不包含，则通过Oracle官网进行下载，下载地址：https://www.oracle.com/java/technologies/javase-jce8-downloads.html。

下载文件为：jce\_policy-8.zip

文件内包含三个文件：

README.txt
    local_policy.jar
    US_export_policy.jar

查看$JAVA\_HOME/jre/lib/security目录下是否有这两个jar包文件，如果没有则复制进去，如果有可考虑覆盖。

#### 引入依赖 ####

在Spring Boot中集成Jasypt比较简单，直接引入如下依赖即可：

<dependency>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-spring-boot-starter</artifactId>
        <version>3.0.4</version>
    </dependency>

此时，Jasypt组件自动配置便已经生效，只需要对需要加密的数据进行处理了。

为了方便对密码进行加密，还可以在pom.xml中的build元素中引入对应的plugin，这个后面会用到：

<plugin>
    	<groupId>com.github.ulisesbocchio</groupId>
    	<artifactId>jasypt-maven-plugin</artifactId>
    	<version>3.0.4</version>
    </plugin>

至此，所有的准备工作已经完成。

#### 内容加密 ####

内容加密有多种方式，这里挑选两种方式进行介绍。

**方式一：单元测试类生成密文；**

构建如下单元测试类，使用默认实例化的StringEncryptor对密码进行加密：

@SpringBootTest
    class SpringBootJasyptApplicationTests {
    
    	@Autowired
    	private StringEncryptor stringEncryptor;
    
    	@Test
    	void contextLoads() {
    		String qwerty1234 = stringEncryptor.encrypt("admin123");
    		System.out.println(qwerty1234);
    	}
    }

其中，”admin123“便是要加密的内容。执行上述程序，便可打印加密后的内容。这种形式加密的内容，全部采用默认值。

**方式二：通过Maven插件生成密文**

在上面已经引入了Jasypt的Maven插件，可通过对应的命令进行生成密码。

第一步：在配置文件中添加加密的密码：

jasypt.encryptor.password=afx11

然后对配置文件中需要加密的数据进行改造，在数据前添加”DEC(“，在数据尾部加上")"，修改完如下：

conf.password=DEC(admin123)

这里添加的DEC()是告诉插件，此部分内容需要进行加密处理。注意这里关键字是DEC。

第二步：执行Maven命令，对上述数据进行加密处理

在命令执行以下命令：

mvn jasypt:encrypt -Djasypt.encryptor.password=afx11

此时再看配置文件中的conf.password数据已经变为：