关于springboot:springboot配置文件脱敏

本文转载至：https://www.51cto.com/article…

常常会遇到这样一种状况：我的项目的配置文件中总有一些敏感信息，比方数据源的 url、用户名、明码 …. 这些信息一旦被裸露那么整个数据库都将会被透露，那么如何将这些配置暗藏呢？​

明天介绍一种计划，让你在无感知的状况下实现配置文件的加密、解密。利用一款开源插件：jasypt-spring-boot。我的项目地址如下：

https://github.com/ulisesbocchio/jasypt-spring-boot

应用办法很简略，整合 Spring Boot 只须要增加一个 starter。

1. 增加依赖

   <dependency>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-spring-boot-starter</artifactId>
        <version>3.0.3</version>
   </dependency>  

2. 配置秘钥
   在配置文件中增加一个加密的秘钥（任意），如下：

   jasypt:
     encryptor:
    password: Y6M9fAJQdU7jNp5MW

   当然将秘钥间接放在配置文件中也是不平安的，咱们能够在我的项目启动的时候配置秘钥，命令如下：

   java -jar xxx.jar  -Djasypt.encryptor.password=Y6M9fAJQdU7jNp5MW

3. 生成加密后的数据
   这一步骤是将配置明文进行加密，代码如下：

   @SpringBootTest
   @RunWith(SpringRunner.class)
   public class SpringbootJasyptApplicationTests {
   
    /**
     * 注入加密办法
     */
    @Autowired
    private StringEncryptor encryptor;
   
    /**
     * 手动生成密文，此处演示了 url，user，password
     */
    @Test
    public void encrypt() {String url = encryptor.encrypt("jdbc\\:mysql\\://127.0.0.1\\:3306/test?useUnicode\\=true&characterEncoding\\=UTF-8&zeroDateTimeBehavior\\=convertToNull&useSSL\\=false&allowMultiQueries\\=true&serverTimezone=Asia/Shanghai");
        String name = encryptor.encrypt("root");
        String password = encryptor.encrypt("123456");
        System.out.println("database url:" + url);
        System.out.println("database name:" + name);
        System.out.println("database password:" + password);
        Assert.assertTrue(url.length() > 0);
        Assert.assertTrue(name.length() > 0);
        Assert.assertTrue(password.length() > 0);
    }
   }

上述代码对数据源的 url、user、password 进行了明文加密，输入的后果如下：

database url: szkFDG56WcAOzG2utv0m2aoAvNFH5g3DXz0o6joZjT26Y5WNA+1Z+pQFpyhFBokqOp2jsFtB+P9b3gB601rfas3dSfvS8Bgo3MyP1nojJgVp6gCVi+B/XUs0keXPn+pbX/19HrlUN1LeEweHS/LCRZslhWJCsIXTwZo1PlpXRv3Vyhf2OEzzKLm3mIAYj51CrEaN3w5cMiCESlwvKUhpAJVz/uXQJ1spLUAMuXCKKrXM/6dSRnWyTtdFRost5cChEU9uRjw5M+8HU3BLemtcK0vM8iYDjEi5zDbZtwxD3hA=

database name: L8I2RqYPptEtQNL4x8VhRVakSUdlsTGzEND/3TOnVTYPWe0ZnWsW0/5JdUsw9ulm

database password: EJYCSbBL8Pmf2HubIH7dHhpfDZcLyJCEGMR9jAV3apJtvFtx9TVdhUPsAxjQ2pnJ

4. 将加密后的密文写入配置
   jasypt​默认应用 ENC() 包裹，此时的数据源配置如下：

   spring:
     datasource:
    #   数据源根本配置
    username: ENC(L8I2RqYPptEtQNL4x8VhRVakSUdlsTGzEND/3TOnVTYPWe0ZnWsW0/5JdUsw9ulm)
    password: ENC(EJYCSbBL8Pmf2HubIH7dHhpfDZcLyJCEGMR9jAV3apJtvFtx9TVdhUPsAxjQ2pnJ)
    driver-class-name: com.mysql.jdbc.Driver
    url: ENC(szkFDG56WcAOzG2utv0m2aoAvNFH5g3DXz0o6joZjT26Y5WNA+1Z+pQFpyhFBokqOp2jsFtB+P9b3gB601rfas3dSfvS8Bgo3MyP1nojJgVp6gCVi+B/XUs0keXPn+pbX/19HrlUN1LeEweHS/LCRZslhWJCsIXTwZo1PlpXRv3Vyhf2OEzzKLm3mIAYj51CrEaN3w5cMiCESlwvKUhpAJVz/uXQJ1spLUAMuXCKKrXM/6dSRnWyTtdFRost5cChEU9uRjw5M+8HU3BLemtcK0vM8iYDjEi5zDbZtwxD3hA=)
    type: com.alibaba.druid.pool.DruidDataSource

   上述配置是应用默认的 prefix=ENC(、suffix=)，当然咱们能够依据本人的要求更改，只须要在配置文件中更改即可，如下：

   jasypt:
     encryptor:
    ## 指定前缀、后缀
    property:
      prefix: 'PASS('
      suffix: ')'

   那么此时的配置就必须应用 PASS()包裹才会被解密，如下：

   spring:
     datasource:
    #   数据源根本配置
    username: PASS(L8I2RqYPptEtQNL4x8VhRVakSUdlsTGzEND/3TOnVTYPWe0ZnWsW0/5JdUsw9ulm)
    password: PASS(EJYCSbBL8Pmf2HubIH7dHhpfDZcLyJCEGMR9jAV3apJtvFtx9TVdhUPsAxjQ2pnJ)
    driver-class-name: com.mysql.jdbc.Driver
    url: PASS(szkFDG56WcAOzG2utv0m2aoAvNFH5g3DXz0o6joZjT26Y5WNA+1Z+pQFpyhFBokqOp2jsFtB+P9b3gB601rfas3dSfvS8Bgo3MyP1nojJgVp6gCVi+B/XUs0keXPn+pbX/19HrlUN1LeEweHS/LCRZslhWJCsIXTwZo1PlpXRv3Vyhf2OEzzKLm3mIAYj51CrEaN3w5cMiCESlwvKUhpAJVz/uXQJ1spLUAMuXCKKrXM/6dSRnWyTtdFRost5cChEU9uRjw5M+8HU3BLemtcK0vM8iYDjEi5zDbZtwxD3hA=)
    type: com.alibaba.druid.pool.DruidDataSource

5. 总结
   jasypt 还有许多高级用法，比方能够本人配置加密算法，具体的操作能够参考 Github 上的文档。