Spring Boot配置加密实践
使用Java技术栈的时候,Spring Boot几乎已经成为了标配。Spring Boot帮助我们简化了各种技术的整合,我们只需要在application.yml配置文件中增加一点点的配置即可。
虽然Spring Boot简化了我们的工作,但是也隐藏了底层的整合实现。
现在有一个问题,我们的数据库密码、Redis密码、ES密码等等都设置在application.yml中,那岂不是有安全风险。能不能对这些敏感字段进行加密?
答案当然是可以的。
那么就开始这个文档的主题,加密Spring Boot配置中的敏感数据。
提前预告,内容过于简单,请不要太开心。
配置加密初体验
今天介绍的配置加密,使用了这个包jasypt-spring-boot-starter
,废话不多说,开始整合。
-
这里假设你是使用Maven构建的项目(使用Gradle的话,自己对应变更就好了),在pom.xml文件中加入
jasypt-spring-boot-starter
的依赖。<!-- 属性加密工具 --> <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.4</version> </dependency>
-
在pom.xml中加入对应的插件。
<!-- 配置加密插件 --> <plugin> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-maven-plugin</artifactId> <version>3.0.4</version> </plugin>
-
在你的启动参数中,加入如下参数
jasypt.encryptor.password
java -jar xxx.jar -Djasypt.encryptor.password="test"
记住
jasypt.encryptor.password
表示的就是你的加密的密码,这个是必须要设置的。现在示例密码是test
。其实除了设置到启动参数中,也可以设置到
application.yml
中,虽然这样是不推荐的,毕竟这样的话,你的加密后的密码跟加密密码就放到一起了,容易被解密。jasypt: encryptor: password: test
现在加密使用的工具就整合结束了,是不是很简单。
使用配置加密
整合配置加密的工具后,如果你的配置中没有设置加密的密码,是不会影响使用的。
那要如何开启密码加密呢。
第一步 对密码进行加密
这就要使用到我们刚才设置的插件jasypt-maven-plugin
。
使用如下命令,即可对密码进行加密。
mvn jasypt:encrypt-value -Djasypt.encryptor.password="test" -Djasypt.plugin.value="xxx"
-Djasypt.encryptor.password
我们之前也已经介绍了,表示的是加密的密码。
-Djasypt.plugin.value
表示的是我要进行加密的内容,例如数据库的密码。
在命令行中执行之后,就得到了加密后的密码,如下图所示。
我们得到的加密后的密码就是ENC(Zdy/wU1qeh9OHHtWGgQkZBxJ7ArACrdrkBrW9gVGltYenncnUzHi6WtRJuR9VS3y)
第二步 替换密码
我们需要使用第一步得到的加密密码来替换我们的原始密码。对应到配置上应该就是:
spring:
datasource:
password: ENC(Zdy/wU1qeh9OHHtWGgQkZBxJ7ArACrdrkBrW9gVGltYenncnUzHi6WtRJuR9VS3y)
好了,结束了,现在你就可以启动你的系统了,是不是发现,加密后的密码竟然也可以启动你的系统。
现在你的系统中任何系统属性、环境属性、命令行参数、application.properties、application-*.properties 、yaml属性和任何其他属性源都可以包含加密属性。
特殊的加密整合
虽然使用jasypt-spring-boot-starter
来进行配置加密已经很简单了,但是奈何现实情况是多种多样的,总有可能出现问题。下面讲解下我遇到的各种问题,以及解决办法。
配置关键字被占用
通过之前的了解,我们也知道了,在配置中,加密后的敏感数据是这样的形式的:ENC(xxx)
xxx是加密后的内容,ENC()
是帮助jasypt-spring-boot-starter
识别那些是加密的数据,需要解密的。
但是,不是只有jasypt-spring-boot-starter
会进行加密解密的,其他的工具也可能会有加密解密功能,也可能会使用ENC()
作为识别加密属性的关键字。
假如跟其他的工具使用相同的关键字,那到底是谁来解密呢,解密的工具不对,那解密就会失败的呀。
很不巧,dynamic-datasource-spring-boot-starter
就是这样的工具。
这个工具用来支持多数据源,也是很常见的一种工具。通过查看文档,发现他也是使用ENC作为加密字段的关键字。
博主在使用过程中,发现了密码被dynamic-datasource-spring-boot-starter
率先解密,导致解密失败。
如何解决?
那就给jasypt-spring-boot-starter
换一个识别加密字段的关键字就好了。如下配置所示:
jasypt:
encryptor:
property:
prefix: ENCRYPT(
suffix: )
现在识别加密密码的关键字已经换成了ENCRYPT()
,这个换成你喜欢的就行。
那么我现在的密码,应该是:
spring:
datasource:
password: ENCRYPT(Zdy/wU1qeh9OHHtWGgQkZBxJ7ArACrdrkBrW9gVGltYenncnUzHi6WtRJuR9VS3y)
Redisson配置没有加解密
在实践过程中,还发现了Redisson配置没有加解密成功。配置所下所示:
spring:
redis:
redisson:
config: |
sentinelServersConfig:
password: ENCRYPT(Zdy/wU1qeh9OHHtWGgQkZBxJ7ArACrdrkBrW9gVGltYenncnUzHi6WtRJuR9VS3y)
这是因为jasypt-spring-boot-starter
识别加密字段的逻辑是,以关键字ENC(
开头,)
结尾,中间的就是加密的内容。
我们查看上面的配置,发现了redisson的配置是一个多行文本,即不是一个以关键字ENC(
开头,也不是)
结尾。所以识别失败,不会进行解密。
通过断点查看类RedissonAutoConfiguration
也发现了,redission的密码确实是没有加密的,依旧使用的是ENCRYPT(Zdy/wU1qeh9OHHtWGgQkZBxJ7ArACrdrkBrW9gVGltYenncnUzHi6WtRJuR9VS3y)
不过,好在redission给我们提供了自定义配置的方式。源码中如下图表示:
所以我们需要提供一个Bean,实现接口RedissonAutoConfigurationCustomizer
,用于修改redisson的密码,使用spring.redis.password
配置的密码即可。
/**
* Redisson密码将使用spring.redis.password的密码,这是因为处理在Jasypt配置加密解密整合过程中,发现redisson的密码不被解析的问题。
*
* @author wanggt
* @date 2023-07-26 17:29:31
*/
@Component
public class RedissonPasswordCustomizer implements RedissonAutoConfigurationCustomizer {
@Autowired
private RedisProperties redisProperties;
@Override
public void customize(Config configuration) {
// spring.redis.password的密码是被解密过的,设置给redisson使用
configuration.useSentinelServers().setPassword(redisProperties.getPassword());
}
}
只需要设置spring.redis.password的密码为加密密码即可。
spring:
redis:
password: ENCRYPT(Zdy/wU1qeh9OHHtWGgQkZBxJ7ArACrdrkBrW9gVGltYenncnUzHi6WtRJuR9VS3y)
这样redisson的问题也解决了。
整合报错
Failed to bind properties under ‘spring.datasource.password’ to java.lang.String
部分人在整合之后,启动系统失败,出现了这样的报错。
出现这样的报错通常都是解密失败,需要排查:
-
yaml文件格式是否正确,是否缺少了属性冒号后的空格
-
是否缺少了JCE的包。
可以在命令行执行命令
mvn jasypt:decrypt-value -Djasypt.encryptor.password="test" -Djasypt.plugin.value="xxx"
,查看是否可以解密。-Djasypt.plugin.value
设置的是加密后的密码,如果出现下图提示,可能就是缺少的JCE。可以考虑更换JDK版本,如果是JDK8,需要是JDK8u161版本以上。
链接
加密工具Github