51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
视频课免费课排行榜短视频直播课软考学堂
全部课程软考华为认证厂商认证IT技术PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
活动 短视频 专栏 极客Show 鸿蒙技术特刊

Java 中如何加密配置文件中的数据库账号和密码?

fatherlaw
发布于 2022-9-5 17:48
浏览
0收藏

作为程序员每天的开发工作都离不开跟数据库打交道,而且我们的应用程序往往都会配置数据库的链接,那你有没有想过,任何一个能接触到我们项目代码的人员,都可以看到配置文件里面的账号秘密?

相信很多人的项目里面配置文件都是类似这样写的

############### Mysql配置 #########################
spring.datasource.type=com.zaxxer.hikari.HikariDataSource
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/abc?useUnicode=true&characterEncoding=utf-8&useTimezone=true&serverTimezone=GMT%2B8
spring.datasource.username=root
spring.datasource.password=123456
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.


spring.datasource.url 中配置了数据库的链接地址和端口,spring.datasource.username 配置了账号以及spring.datasource.password 中配置了密码。

如果是这样的写法,无非就是在裸奔,任何一个能接触到这个文件的人,都能够用 MySQL 的客户端工具进行数据库的链接,里面的数据毫无安全可言。当然如果是本地或者测试环境都还可以,但是对于生产环境那是不能接受的,毕竟这样的安全性太差了,一不小心被删库跑路还是有可能的。

相对而言,有一些经验的数据库运维人员是不会直接提供数据库服务的 IP 地址和端口的,而是提供域名,通过在 url 地址上面配置相应的域名,然后通过解析域名让其访问数据库服务,域名地址是不对外解析的,所以生产环境的主机以及开发人员的本机,需要进行 hosts 的配置,将域名对应 IP 地址配置起来。

这种方式会比上面直接裸奔的形式好一点,外人拿到代码,没有 hosts 配置也是不能访问数据库的,难度相对来说高了一点。但是这样也有个问题,那就是开发人员还是可以通过 MySQL 的客户端进行数据的访问,如果哪天心情不好,删库跑路也不是没有可能,或者说私自泄露数据也是有机会的。

那么很多小明就问了,有没有一种方式,可以有效的控制这种情况呢?让尽量少了人接触到数据库的数据,但是同时也不能影响开发的进度,对于开发要友好。

有问题,就会有答案,这个时候我们就需要介绍一款神器了,那就是 jasypt。jasypt 可以帮助我们在配置文件中配置加密后的账号和密码,然后结合秘钥,就可以完全控制数据库的安全性。下面我们就来试一下吧。

首先有一个需要连接数据库的 Spring Boot 服务,我们先看一下,在没有引入 jasypt 的时候,是如何使用的,代码如下:

############### Mysql配置 #########################
spring.datasource.type=com.zaxxer.hikari.HikariDataSource
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/abc?useUnicode=true&characterEncoding=utf-8&useTimezone=true&serverTimezone=GMT%2B8
spring.datasource.username=root
spring.datasource.password=123456

#客户端等待连接池连接的最大毫秒数
spring.datasource.hikari.connection-timeout=20000
#最小空闲连接数
spring.datasource.hikari.minimum-idle=5
#最大连接池大小
spring.datasource.hikari.maximum-pool-size=20
#连接池中空闲的最长时间毫秒
spring.datasource.hikari.idle-timeout=30000
#池中连接关闭后的最长生命周期毫秒
spring.datasource.hikari.max-lifetime=1200000
spring.datasource.hikari.auto-commit=true
spring.datasource.hikari.connection-test-query=SELECT 1
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.

UserController.java

package com.controller;

import com.mapper.UserEntity;
import com.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.autoconfigure.EnableAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.Date;
import java.util.List;

@RestController
@EnableAutoConfiguration
@RequestMapping("/user")
publicclass UserController {

  @Autowired
  private UserMapper userMapper;

  @RequestMapping("add")
  public int addUser(String name, String desc) throws Exception {
    int id, num = 0;
    UserEntity u = new UserEntity(0, name, desc, new Date());
    num = userMapper.insert(u);
    id = u.getId();
    return id;
  }

  @RequestMapping("getlist")
  public List<UserEntity> listUser() throws Exception {
    List<UserEntity> UserEntitys = userMapper.getAll();
    System.out.println(UserEntitys.toString());
    return UserEntitys;
  }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.


UserMapper.java

package com.mapper;

import org.apache.ibatis.annotations.*;

import java.util.List;

/**
 * @author ziyou
 */
publicinterface UserMapper {
  /**
   * 查询操作示例
   *
   * @return
   */
  @Select("SELECT * FROM t_user;")
  @Results({
    @Result(property = "id", column = "Id"),
    @Result(property = "Name", column = "Name"),
    @Result(property = "Desc", column = "Desc"),
    @Result(property = "CreateTime", column = "CreateTime")
  })
  List<UserEntity> getAll();

  /**
   * 插入操作示例
   * 将自增ID绑定到实体,keyProperty是实体字段,keyColumn是数据库字段
   *
   * @param user
   * @return
   */
  @Insert("INSERT INTO t_user(`Name`,`Desc`,CreateTime) VALUES(#{Name}, #{Desc}, #{CreateTime});")
  @Options(useGeneratedKeys = true, keyProperty = "id", keyColumn = "Id")
  int insert(UserEntity user);

}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.
  • 17.
  • 18.
  • 19.
  • 20.
  • 21.
  • 22.
  • 23.
  • 24.
  • 25.
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
  • 32.
  • 33.
  • 34.
  • 35.
  • 36.

另外我们有一张表,表里面的数据是这样的,接下来我们启动服务,调用接口查询表的数据,如下所示

Java 中如何加密配置文件中的数据库账号和密码?-鸿蒙开发者社区

 

说明在使用明文账号密码的时候,整个流程是没有问题,接下来,我们引入 jasypt ,主要分下面三个步骤

1. 引入 pom 依赖

<!--springboot整合jasypt-->
    <dependency>
      <groupId>com.github.ulisesbocchio</groupId>
      <artifactId>jasypt-spring-boot-starter</artifactId>
      <version>1.18</version>
    </dependency>
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

2.编写加密工具类

publicclass JasyptUtil {

  public static void main(String[] args) {
    String account = "root";
    String password = "123456";
    BasicTextEncryptor encryptor = new BasicTextEncryptor();
    //秘钥
    //encryptor.setPassword(System.getProperty("jasypt.encryptor.password"));
    encryptor.setPassword("eug83f3gG");
    //密码进行加密
    String newAccount = encryptor.encrypt(account);
    String newPassword = encryptor.encrypt(password);
    System.out.println("加密后账号:" + newAccount);
    System.out.println("加密后密码:" + newPassword);
  }
}
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15.
  • 16.

因为我们要得到加密后的密文,所以我们先需要根据原始账号密码,以及我们指定的秘钥来生成加密后的密文,这里我们假设本地和测试环境的秘钥为eug83f3gG,通过上面的工具类,我们可以生成如下的密文 

Java 中如何加密配置文件中的数据库账号和密码?-鸿蒙开发者社区
3.替换账号密码,我们将 application.properties 里面的账号密码用上面的密文替换,如下所示,使用 ENC()包住密文。

############### Mysql配置 #########################
spring.datasource.type=com.zaxxer.hikari.HikariDataSource
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/abc?useUnicode=true&characterEncoding=utf-8&useTimezone=true&serverTimezone=GMT%2B8
spring.datasource.username=ENC(/YnTvPH7WnnqMHu+wKeccA==)
spring.datasource.password=ENC(Xv829RzVs7pd2sv72/wsbg==)
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

这里说明三点

1. 此时我们还不能正常启动服务,因为就这样的话是启动不成功了,账号和密码是错误的,我们需要将秘钥传入,让jasypt 给我们反向解析出正确的账号和密码才能进行数据库的链接;
2. 工具类中的秘钥保持跟生产环境不一样!!!
3. 使用 ENC() 包住密文;
接下来我们可以将秘钥通过两种形式传进程序中使用,一种是将秘钥通过系统环境变量的形式进行配置,不过不建议;第二种是通过启动参数将秘钥进行传入;这里我们使用第二种,在 SpringBoot 项目的启动参数中,我们增加这样的配置 -Djasypt.encryptor.password=eug83f3gG,然后我们再重启应用,就可以启动成功了。

启动成功了再次访问上面的接口,可以看到效果是一样的。

Java 中如何加密配置文件中的数据库账号和密码?-鸿蒙开发者社区

 


后续在生产环境中,只需要在启动参数中传入与本地和测试环境不一样的秘钥,就可以有效的防止数据库的账号密码被泄露了,就连开发人员都不知道是什么,只要配置的运维人员知道,这个安全性就高很多了,怎么样小伙伴你学会了吗?赶紧在自己的项目中用起来吧!

 

本文转载自公共号Java极客技术

分类
其他
标签
sql
已于2022-9-5 17:48:06修改
收藏
回复
举报
回复
    相关推荐
    fatherlaw
    这个用户很懒,还没有个人简介
    帖子
    视频
    声望
    粉丝
    最近发布
    热门推荐
    【有奖互动活动】# HarmonyOS 连接·突破# 我在现场活动​ 96回复
    聊聊 2025 年最值得关注的 IT 技术趋势,一起来投票! 14回复
    鸿蒙Flutter开发知识地图 0回复
    鸿蒙性能优化之卡顿优化 1回复
    待到山花烂漫时:鸿蒙开发者的个人感悟 1回复
    相关问题
    HarmonyOS 关系型数据库加密密码 1回答
    如何配置DevEco Studio设置中的版权配置文件 1回答
    HarmonyOS 配置文件中metadata如何读取? 1回答
    我们的配置文件是个数据库,启动时希望直接读.db的加密文件,文件是随着应用打包进去的,如何实现? 1回答
    关系型数据库rdb中如何进行加密 1回答
    社区精华内容