Spring Boot 接入 KMS 托管中间件密码&第三方接口密钥

最新推荐文章于 2025-04-17 15:50:13 发布
最新推荐文章于 2025-04-17 15:50:13 发布
阅读量2.5k 收藏 27
点赞数 21
CC 4.0 BY-SA版权
分类专栏: Springboot 微服务架构 文章标签: Kms Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Howinfun/article/details/135485701

1. 需求

Nacos中关于中间件的密码,还有第三方API的密钥等信息,都是明文存储,不符合系统安全要求。现需对这些信息进行加密处理,Nacos只存储密文,并在服务启动时,调用云厂商的KMS接口进行解密,将解密后的明文存储在内存中供服务后续使用。

2. 组件调研&增强

2.1. jasypt 组件

业界上已有jasypt组件可以很好地支持对配置文件中的敏感信息进行解密处理,并完全支持 Spring Boot 架构。但是唯一的缺点是,该组件默认仅支持一些核心的静态加解密算法,无法支持接入第三方KMS;并且,仅支持对一个完整配置项的解密处理,不支持对配置项中某段字符串进行解密操作。因此,不能直接使用在我们已有的服务上。

2.2. 增强

我们需对上述组件进行增强,主要是以下两点:

  1. 配置项部分解密:支持解密配置项中指定的某段字符串,使用ENC()CNE括住
  2. 第三方KMS解密:支持接入第三方KMS接口,对密文进行解密操作,支持将明文托管在KMS中(这里使用的是腾讯云的KMS)

我们不但要对jasypt组件进行增强,同时也需在此基础上再封装一个组件,用于整个平台的服务使用,避免冗余代码。

2.2.1. 引入相关依赖

核心是引入jasypt的 Spring Boot 组件,以及KMS(如腾讯云)组件:

<dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter</artifactId>
      <scope>provided</scope>
  </dependency>
  <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
      <scope>provided</scope>
  </dependency>
  <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-configuration-processor</artifactId>
      <optional>true</optional>
  </dependency>
  <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-autoconfigure</artifactId>
  </dependency>
  <dependency>
      <groupId>org.projectlombok</groupId>
      <artifactId>lombok
最低0.47元/天 解锁文章
Spring Boot 接口加密解密:新姿势
java专栏
08-18 1458
通过今天的讲解,相信你已经掌握了如何在 Spring Boot 中实现接口加密解密的方法。从选择加密算法到具体实现,再到密钥管理和性能优化,我们一步步探索了接口加密解密的奥秘。加密解密就像是给你的数据穿上了一层保护衣,让别人看不懂里面的内容,即使数据在路上被“偷窥”,也不会泄露你的秘密。本文尽可能详尽地介绍了 Spring Boot接口加密解密的基本概念和技术细节,希望能帮助你更好地掌握接口加密解密的使用技巧。别急,咱们一步一步来!密钥管理是加密解密过程中非常重要的一环,我们需要确保密钥的安全性。
[密码学实战]密码服务平台部署架构详解与学习路线(二十三)
最新发布
曼岛_的博客
04-20 239
密码服务平台的构建是一场安全、性能与成本的“平衡艺术”。通过分层架构设计、硬件加速优化与智能运维策略,开发者可打造既合规又高效的密码基础设施。未来,随着量子计算与云原生技术的演进,密码服务将向更安全、更弹性的方向持续发展。提示:建议在本地搭建VMware/KVM虚拟化环境,结合OpenSSL国密版进行实操演练。
spring-kms-test源码
09-22
配合博文的源码 http://blog.youkuaiyun.com/johnstrive/article/details/52624716
springboot集成
慕菲烟*云的博客
07-23 399
停掉集群中的master节点,观察日志,发现报错,然后从节点变为主节点后又连接成功,可以继续使用。
【后端开发】将springboot项目部署到阿里云服务器
乔培宸的博客
07-07 3691
11.还没完呢,这种启动方式是一次启动,当我们关掉Xshell的时候,我们的网站又访问不上了,又得重新打开Xshell,执行 java -jar ***.jar。回到我们本地windows Springboot项目,下面我们对我们的项目做一些设置,到IDEA中,打开pom.xml,添加如下语句,将项目的打包形式设置好。编辑完之后,按Esc键退出编辑模式,然后按: 之后输入wq,再回车退出(Linux中vim的基础,不了解的小伙伴可以了解一下Linux中的vim)(8)到这一步,jdk的安装就全部完成了。
部署式文件系统Ozone对接Ranger KMS 实现TDE
少说多做
10-31 1640
前言 公司隐私计算的项目准备使用K8S来运行计算的任务和工作调度,隐私计算的源数据放到分布式文件系统中,通过对接Ranger KMS实现透明数据加密(Transparent Data Encryption,缩写TDE). 前面一篇文章(https://blog.youkuaiyun.com/lwlfox/article/details/121068645)已经实现了未开启TDE模式,这篇文章将介绍如何从非TDE模式切换到带TDE模式并与K8S 对接。 必读 https://blog.youkuaiyun.com/lwlfox
runtime调通kms接口
自行车的博客
03-21 204
runtime调通kms接口 主要通过accessToken可访问kms接口,先在工具类里面拿取accessToken,以下为例子 在documentUtil添加方法,根据request获取accessToken //获取accessToken public String getAccessToken(HttpServletRequest request){ String accessTo...
Jasypt 与 Spring Boot 集成文档
The Fifth Leaf 的博客
03-04 1890
Jasypt 是一个简单易用的 Java 加密库,支持与 Spring Boot 无缝集成。通过 Jasypt,可以轻松加密和解密 Spring Boot 配置文件中的敏感信息(如数据库密码、API 密钥等),从而提高应用的安全性。默认情况下,Jasypt 使用算法。可以通过以下配置自定义算法:为了进一步防止密码泄露,我们可以自定义加密规则。自定义加密规则非常简单,只需要提供自定义的加密器配置类,然后通过配置指定加密配置类即可。/*** 自定义加密器*//*** 加解密PBE 算法*/
Spring Boot配置文件敏感信息加密
evanYang的博客
09-18 2593
springboot配置敏感信息加密
Spring Boot实现微信公众号/小程序微信支付实战指南
danny-IT技术博客
04-17 1074
本文将从零开始讲解如何在Spring Boot中实现微信支付功能,涵盖开通流程、版本差异、接口详解、回调处理及企业级注意事项,并附带可直接集成到项目中的代码示例。通过本文的实现方案,开发者可快速构建符合微信支付规范的安全支付系统。实际生产环境中建议结合分布式锁、消息队列等机制保证系统可靠性。以上实现方案已在生产环境验证,可直接用于企业级项目。
安全实现SpringBoot配置文件自动加解密
akaiyijian001的博客
05-24 9066
也可以自动扩展配置文件,如果有些项目自己在这个扩展点实现了自己的配置加载逻辑,可能就需要考虑顺序问题。综上既可以实现敏感配置文件的加解密,同时可以保障加密密钥的安全传入。相关实例处理后调用,且在Bean创建前。应用程序开发的时候,往往会存在一些敏感的配置属性。可自定义环境配置处理逻辑。
【转】密钥管理服务(KMS
WangYouJin321的博客
10-18 4320
1. KMS: 根密钥生成,为了生成根密钥的保密性,由三个人分别输入三段约定好算法的随机因子到HSM中去生成根密钥,非法读取HSM中的根密钥会导致HSM被破坏而不可用从而保护了根密钥不被泄露。密钥管理服务(KMS)是一套密钥管理系统, 可以针对云上数据/各端上的加密需求精心设计的密码应用服务,为您的应用提供符合各种要求的密钥服务及极简应用加解密服务,助您轻松使用密钥来加密保护敏感的数据资产。2、密钥存储 - 安全的存储密钥,如使用专用的安全存储设施或采用高强度加密保护,防止密钥的泄露和窃取。
使用SpringBoot进行安全性加密解密
AI天才研究院
01-25 1214
1.背景介绍 1. 背景介绍 在现代信息时代,数据安全和保护已经成为了重要的问题。随着互联网的普及和数据的快速传输,数据的加密和解密技术也变得越来越重要。SpringBoot是一种轻量级的Java框架,它可以简化开发过程,提高开发效率。在这篇文章中,我们将讨论如何使用SpringBoot进行安全性加密解密。 2. 核心概念与联系 在进入具体的技术内容之前,我们需要了解一下一些基本的概念。 ...
SpringBoot启动自动解密加密配置项
weixin_54925172的博客
05-11 832
代表了Spring应用程序的环境,包括了所有配置属性,如配置文件、系统属性等。接口Spring Boot提供的一个用于在Spring应用程序启动过程中对。它允许你在Spring Boot应用程序启动时修改或增强。如何在springboot启动过程中自动解密配置文件中的加密部分。然后我们来看看效果,访问controller试试。ok,已经成功,希望对各位大佬有帮助。首先我们需要搭建一个简单的springboot项目。创建之前,对环境属性进行修改。然后就是我们的解密工具类。废话不多说直接上代码。
springboot https_【springboot】配置实现https单项认证和双向认证
weixin_39645249的博客
11-26 947
1、什么是https ​HTTPS其实是HTTP + SSL,S的含义也就是Secure Socket Layer(简称SSL)。下边简单介绍一下SSL:SSL是用于在web上实现加密最广泛使用的协议。SSL为用于Internet通信的标准TCP / IP通信协议提供安全增强。SSL添加在标准的TCP/IP协议中的传输层和应用层之间。HTTP是使用SSL协议最常见的应用,即Internet网页的协...
Spring Boot配置加密实践
匿迹
07-28 816
Spring Boot配置加密实践,特殊整合,报错处理
关于使用springboot集成nacos配置记录
毅香雪海的博客
09-06 1321
springboot集成nacos配置记录
阿里云DKMS对接记录
IMJCW的博客
01-12 549
背景 因公司安全基线需求,需要对一些落库值进行加密处理。 在之前项目的方案里,是通过 AES256 做了一些自定义处理,对值进行加密,其中密钥和偏移量都是由运维同事维护的。 为了更加安全,公司层面直接使用了阿里云的 KMS 服务。 跟阿里云业务人员沟通之后,最终决定使用企业版KMS:DKMS。 然而,官方只有 Java 版本的 SDK。 SDK实现 传送门 参考了官方 KMS 的 SDK 之后,使用了其一些类库,实现了 PHP 版本的 DKMS SDK。 TIPS:仅实现了 encrypt 和 decryp
八、Spring Boot与部署
积少成多
01-20 1529
Win10 系统未激活或者激活码失效
华为云 kms 接口
12-27
### 关于华为云KMS接口的信息 #### 华为云KMS API文档概述 华为云密钥管理服务(Key Management Service, KMS)提供了多种方式来管理和操作加密密钥。API文档详细描述了如何通过编程接口访问这些功能,包括但不限于创建密钥、删除密钥、启用禁用密钥以及使用密钥进行加解密操作等[^1]。 #### 使用教程 为了帮助开发者更好地理解和利用KMS的功能,官方还准备了一系列详细的指南和说明。这其中包括设置环境变量、安装必要的SDK库、认证授权流程等内容。对于初次使用者来说,按照指引逐步完成初始化工作是非常重要的一步。此外,教程还会介绍一些常见的应用场景及其对应的实现方法[^2]。 ```python import huaweicloudsdkcore.auth.credentials as cred from huaweicloudsdkkms.v1 import kms_client, list_keys_request def get_kms_client(): ak = &quot;your_access_key&quot; sk = &quot;your_secret_key&quot; credentials = cred.BasicCredentials(ak, sk) client = kms_client.KmsClient().new_builder() \ .with_credentials(credentials) \ .build() return client client = get_kms_client() request = list_keys_request.ListKeysRequest(limit=10) response = client.list_keys(request) print(response) ``` 这段Python代码展示了如何连接到华为云并获取当前账户下的所有CMK(Customer Master Keys)。这里需要注意的是替换`your_access_key` 和 `your_secret_key`为你自己的凭证信息[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值