使用Jasypt保护Spring Boot配置文件中的敏感信息

说明

使用过Spring Boot配置文件中的伙伴都知道，资源文件中的内容通常情况下是明文显示，安全性就比较低一些。

打开application.properties或application.yml，比如MySQL登陆密码，Redis登陆密码以及第三方的密钥等等一览无余，这里介绍一个加解密组件，提高一些属性配置的安全性。

jasypt是由一个国外大神写了一个spring boot下的工具包，用来加密配置文件中的信息。

GitHub Demo地址

spring-boot2/spring-boot-encrypt at master · jeikerxiao/spring-boot2 · GitHub

数据库用户名和数据库密码加密为例

 1.引入包

查看最新版本可以到：

https://github.com/ulisesbocchio/jasypt-spring-boot

<dependency>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-spring-boot-starter</artifactId>
        <version>2.1.0</version>
</dependency>

2.配置加/解的密码

# jasypt加密的密匙
jasypt:
  encryptor:
    password: Y6M9fAJQdU7jNp5MW

3.测试用例中生成加密后的私钥

@RunWith(SpringRunner.class)
@SpringBootTest
public class DatabaseTest {

    @Autowired
    private StringEncryptor encryptor;

    @Test
    public void getPass() {
        String url = encryptor.encrypt("jdbc:mysql://localhost:3306/kyrie_test?useUnicode=true&characterEncoding=utf8&useSSL=false&serverTimezone=GMT%2B8");
        String name = encryptor.encrypt("root");
        String password = encryptor.encrypt("123456");
        System.out.println("database url: " + url);
        System.out.println("database name: " + name);
        System.out.println("database password: " + password);
        Assert.assertTrue(url.length() > 0);
        Assert.assertTrue(name.length() > 0);
        Assert.assertTrue(password.length() > 0);
    }
}

下面是输出的加密字符串：

database url: q43vxU5W+xjnD5urffh+NF5e/l08MiW60R4sbFuZHDygQCkSq5Rpan+xbCT+SOmMLZGw7CoxHJDo7BQ9I7doA0W+lchTwzb9is1y6fnn2jPxymgjYezUAmtAM+ZHk5UNunXlyXZPCl4TxUKv2xOwnu7UFp/Hob+M65YwIK37Bqdtb27jspOSyo4Bsxkfa0yJ/Yev0O+sE90kNqHCU4INcw==
database name: z6J4FuH3cz6ZPvBfj0ZT2LhJ42NAxXPlUgG4B6MNpH4XXx4BBu4DkZ7CN5uCkKMD
database password: 7eV8HyMf5mFvjtHGJJ9GO112Dvitg5u5FRLUXXifxV7c+6nxYVPXRljKdd9kWram

4.将加密后的字符串替换原明文

server:
  port: 8080
spring:
  # 数据库相关配置
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: ENC(q43vxU5W+xjnD5urffh+NF5e/l08MiW60R4sbFuZHDygQCkSq5Rpan+xbCT+SOmMLZGw7CoxHJDo7BQ9I7doA0W+lchTwzb9is1y6fnn2jPxymgjYezUAmtAM+ZHk5UNunXlyXZPCl4TxUKv2xOwnu7UFp/Hob+M65YwIK37Bqdtb27jspOSyo4Bsxkfa0yJ/Yev0O+sE90kNqHCU4INcw==)
    username: ENC(z6J4FuH3cz6ZPvBfj0ZT2LhJ42NAxXPlUgG4B6MNpH4XXx4BBu4DkZ7CN5uCkKMD)
    password: ENC(7eV8HyMf5mFvjtHGJJ9GO112Dvitg5u5FRLUXXifxV7c+6nxYVPXRljKdd9kWram)
 
# jasypt加密的密匙
jasypt:
  encryptor:
    password: Y6M9fAJQdU7jNp5MW

注意：上面的  ENC()  是固定写法.

附言 

为了防止salt(盐)泄露，反解出密码，可以在部署项目的时候使用命令传入salt(盐)值：

java -jar xxx.jar  -Djasypt.encryptor.password=Y6M9fAJQdU7jNp5MW

或者在服务器的环境变量里配置，进一步提高安全性。

打开 /etc/profile 文件 

vim /etc/profile

在profile文件末尾插入salt(盐) 变量

export JASYPT_PASSWORD = Y6M9fAJQdU7jNp5MW

 编译，使配置文件生效

source /etc/profile

 运行

java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar