spring-boot项目使用ulisesbocchio对配置文件敏感信息加密

本文介绍如何使用 Jasypt-Spring-Boot-Starter 在 Spring Boot 应用中加密敏感信息,包括添加依赖、自定义加密盐值、替换敏感信息为加密结果及加密结果与加密盐值的隔离。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参考文献github官网地址:https://github.com/ulisesbocchio/jasypt-spring-boot

1、添加依赖:

maven:

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.2</version>
</dependency>

低版本依赖

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.1.2</version>
</dependency>

gradle依赖:

implementation 'com.github.ulisesbocchio:jasypt-spring-boot-starter:3.0.2' 

2、自定义加密盐值,生成加密结果 

public static void main(String[] args) {
    BasicTextEncryptor encryptor = new BasicTextEncryptor();
    // application.properties, jasypt.encryptor.password 加密盐值
    encryptor.setPassword("qwera@12345");
    // 加密数据库连接地址
    System.out.println(encryptor.encrypt(
        "jdbc:mysql://127.0.0.1:3306/mysql?useUnicode=true&characterEncoding=utf8&autoReconnect=true&zeroDateTimeBehavior=convertToNull&transformedBitIsBoolean=true&serverTimezone=UTC"));
    // 加密数据库连接用户名
    System.out.println(encryptor.encrypt("user"));
    // 加密数据库连接密码
    System.out.println(encryptor.encrypt("123456"));
    // 加密ip地址
    System.out.println(encryptor.encrypt("127.0.0.1"));
}

 运行之后得到以下加密结果:

SXyQdsRMPeCNvzqG+9CHCfBJ8I5WG0FK3QK/oh3Ty+9cD2x46TFx6qeil9i8+HJM+v6aJPF5+cPfXNcK9RZz8pj5vETgOLv6WN41zTnXmsx4MrtGbjmVpDOnVKtGh3aR8BRM7bH1/CN2letqQYpkbAFUErtEkrrVNhRwN9whalZmv4MZP2rBmyeVYaDqEBuEDcV4u2Kbl0bdAN4Tn5LRzu+7sDOP37nDTTwdOTOdU3gYGe3OodLSuw==
4FEc3689+yRuKK0uKSzuwQ==
0T6wU363Jnd0wC2q7LittA==
S6Ndyo6uDMMwwzHiiLjPW+sArf+r9qsA

3、将结果敏感信息替换成加密后的结果

 加密结果需要将ENC(*)包含加密值,Spring加载时会自动解析

jasypt:
  encryptor:
    # 加密盐值 必须和生成的盐值一样
    password: qwera@12345
    # 加密算法设置 3.0.0 以后需要加上下面两个配置
  # algorithm: PBEWithMD5AndDES
  # iv-generator-classname: org.jasypt.iv.NoIvGenerator
spring:
  profiles:
    active: local
  application:
    name: demo
  datasource:
    url: ENC(SXyQdsRMPeCNvzqG+9CHCfBJ8I5WG0FK3QK/oh3Ty+9cD2x46TFx6qeil9i8+HJM+v6aJPF5+cPfXNcK9RZz8pj5vETgOLv6WN41zTnXmsx4MrtGbjmVpDOnVKtGh3aR8BRM7bH1/CN2letqQYpkbAFUErtEkrrVNhRwN9whalZmv4MZP2rBmyeVYaDqEBuEDcV4u2Kbl0bdAN4Tn5LRzu+7sDOP37nDTTwdOTOdU3gYGe3OodLSuw==)
    username: ENC(4FEc3689+yRuKK0uKSzuwQ==)
    password: ENC(0T6wU363Jnd0wC2q7LittA==)
    driver-class-name: com.mysql.cj.jdbc.Driver

4、加密结果与加密盐值隔离

项目加密配置到这里也就基本完成了,但是为了保证加密数据和加密盐值数据隔离还需采取进一步措施,以确保数据的安全性

注释:加密盐值不应该直接放在代码中,容易造成开发人员泄露数据安全性

Windows启动java虚拟机配置VM options参数,我这里默认是配置3.0.0以上的jar包,如版本低可将后面参数移除掉

配置了虚拟机启动参数,其实和配置yml是一样的,也同样会加载到spring配置文件中,配置成功(此时可将配置文件的加密盐值配置删除掉),

启动Spring同样会成功连接到数据库。

 服务器中配置,同理将java启动虚拟机参数新增配置,这样我们密码盐值就放在了服务器中,就不会造成加密盐值泄漏了

JAVA_OPTS="-Djasypt.encryptor.password=qwera@12345 -Djasypt.encryptor.algorithm=PBEWithMD5AndDES -Djasypt.encryptor.iv-generator-classname=org.jasypt.iv.NoIvGenerator"

 

到这里,配置加密敏感信息应该才算完成。

<think>嗯,我现在需要在Spring Boot项目里用jasypt-spring-boot对接口进行RSA加密,还要设置密钥的长度。可是我以前没怎么接触过这个库,对RSA加密也不是特别熟悉。得仔细想想怎么一步步来。 首先,我应该回忆一下jasypt-spring-boot的基本用法。记得之前用过它来加密配置文件里的敏感信息,用的是对称加密,比如AES。但这次用户问的是RSA,非对称加密,所以可能配置方式会不同。RSA需要公钥和私钥,密钥长度通常是1024、2048位这些。 那jasypt-spring-boot是否支持RSA呢?可能得先确认一下。查一下文档或者资料,发现jasypt其实支持多种加密方式,但默认可能是对称加密。要使用RSA的话,可能需要配置特定的加密器或者指定算法。 接下来,密钥长度的设置。RSA的密钥长度一般在生成密钥对的时候就确定了,比如用KeyPairGenerator的时候指定长度。但是在jasypt的配置里,怎么指定这个长度呢?可能需要通过配置属性来设置。 可能的步骤: 1. 添加jasypt-spring-boot的依赖到项目中。 2. 生成RSA密钥对,指定需要的长度,比如2048位。 3. 在application.properties或yml中配置jasypt的相关属性,比如加密算法、公钥、私钥,以及密钥长度。 4. 使用加密后的数据,或者对接口返回的数据进行加密处理。 但问题是如何在配置中指定RSA的密钥长度。可能需要注意,密钥长度是在生成密钥对时确定的,配置时可能不需要再指定,而是直接使用生成的密钥。也就是说,密钥长度是在生成的时候决定的,而不是在应用运行时配置的? 比如,生成密钥对的命令可能是: keytool -genkeypair -alias mykey -keyalg RSA -keysize 2048 -storetype PKCS12 -keystore keystore.p12 这时候密钥长度是2048位。然后在Spring Boot应用中配置这个keystore的位置和密码,jasypt可能读取这个密钥对来进行加密解密。 或者,jasypt可能有自己的配置属性来指定RSA的密钥长度。需要查jasypt的文档,看看有没有相关的属性,比如jasypt.encryptor.key-length=2048。 但不确定jasypt-spring-boot是否支持这样的配置。因为RSA的密钥长度通常是生成时固定,而不是运行时可变的,所以可能不需要在配置文件中设置,而是在生成密钥时就确定了长度。 另外,可能需要自定义加密器。比如,实现一个RSA加密器,然后在jasypt中配置使用这个自定义的加密器,这时候就可以在代码里指定密钥长度。 或者,在配置文件中,通过类似jasypt.encryptor.algorithm=RSA这样的属性来指定算法,但密钥长度可能由其他属性控制,或者需要结合其他配置。 可能需要参考jasypt的官方文档,特别是关于非对称加密的部分。例如,在jasypt的文档中,是否提到如何配置RSA以及密钥长度? 查找到的资料显示,jasypt默认的加密器是PBEWithMD5AndDES,但可以配置成使用其他算法,比如RSA。不过,RSA需要配置公钥和私钥,这时候可能需要使用JCE的KeyPairGenerator来生成密钥对,然后在配置中指定公钥和私钥的位置或者值。 例如,在application.properties中配置: jasypt.encryptor.algorithm=RSA jasypt.encryptor.keyPairGenerator.algorithm=RSA jasypt.encryptor.keyPairGenerator.keyLength=2048 jasypt.encryptor.publicKeyString=... jasypt.encryptor.privateKeyString=... 但不确定是否支持直接设置keyLength这个属性。可能jasypt的某些版本或配置允许这样设置。或者,当生成密钥对的时候,密钥长度已经固定了,配置文件中只需要提供对应的公钥和私钥即可,不需要再次指定长度。 总结来说,步骤可能是: 1. 生成RSA密钥对,指定密钥长度(如2048位)。 2. 在Spring Boot配置文件中配置jasypt使用RSA算法,并提供公钥和私钥。 3. 密钥长度在生成密钥对时已经确定,配置文件中不需要再设置,或者可能通过特定属性设置。 可能遇到的问题:是否必须使用jasypt的特定方式生成密钥对,或者在配置中如何正确引入现有的密钥对。另外,是否需要在项目中启用jasypt的非对称加密支持,可能需要额外的依赖或配置。 另外,需要注意jasypt-spring-boot的版本是否支持RSA加密。可能需要较新的版本,或者某些特定的配置方式。 最后,可能需要编写代码来使用加密器,比如在接口的响应体加密时,使用配置好的RSA加密器对数据进行加密处理,或者通过注解自动加密返回的数据。 所以,正确的步骤可能是:生成指定长度的RSA密钥对,配置jasypt使用这些密钥,并确保算法设置为RSA,这时候密钥长度已经在生成时确定,不需要额外在配置中设置。在</think>Spring Boot项目使用jasypt-spring-boot进行RSA加密时,密钥长度主要在生成密钥对时确定,而不是在运行时配置。以下是详细步骤: --- ### **1. 添加依赖** 在`pom.xml`中添加jasypt-spring-boot依赖: ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.5</version> <!-- 使用最新版本 --> </dependency> ``` --- ### **2. 生成RSA密钥对** 密钥长度在此步骤中指定(如2048位)。使用以下命令生成密钥对: ```bash keytool -genkeypair \ -alias my-rsa-key \ -keyalg RSA \ -keysize 2048 \ # 指定密钥长度 -storetype PKCS12 \ -keystore keystore.p12 \ -validity 365 ``` 生成后,导出公钥和私钥备用。 --- ### **3. 配置Spring Boot** 在`application.properties`或`application.yml`中配置jasypt和密钥: ```properties # 指定加密算法为RSA jasypt.encryptor.algorithm=RSA # 设置公钥和私钥(需替换为实际值) jasyp
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值