MyBatis - 使用示例(四)SpringBoot配置数据库密码加密
前面三篇文章简单的示意了下MyBatis和Spring以及SpringBoot的整合。本文讲一下如何在SpringBoot下配置数据库密码加密。
一、借助Druid数据源配置数据库密码加密
Druid 数据源支持数据库密码进行加密,在 Spring Boot 中配置方式如下:
加密数据库密码,通过 Druid 的 com.alibaba.druid.filter.config.ConfigTools
工具类对数据库密码进行加密(RSA 算法),如下:
String password = "root";
String[] arr = ConfigTools.genKeyPair(512);
System.out.println("privateKey:" + arr[0]);
System.out.println("publicKey:" + arr[1]);
System.out.println("password:" + ConfigTools.encrypt(arr[0], password));
或者执行以下命令:
java -cp druid-1.0.16.jar com.alibaba.druid.filter.config.ConfigTools root
输出:
privateKey:MIIBVAIBAD.............fk=
publicKey:MFwwDQYJQB........TxWAQ==
password:MtaWO2UBG0iHt............RBTAA==
然后在 application.yml 中添加以下配置:
spring:
datasource:
druid:
password: ${
password} # 加密后的数据库密码
filters: config # 配置 ConfigFilter ,通过它进行解密
# 提示需要对数据库密码进行解密
connection-properties: 'config.decrypt=true;config.decrypt.key=${publickey}'
publicKey: MFwwDQYJQB........TxWAQ==
二、借助Jasypt加密包
Jasypt是一个 Java 库,可以让开发人员将基本的加密功能添加到项目中,而无需对加密的工作原理有深入的了解
接下来讲述的在 Spring Boot 项目中如何使用Jasypt
1. 引入依赖
<!-- jasypt 加密工具,https://github.com/ulisesbocchio/jasypt-spring-boot -->
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.3</version>
</dependency>
2. 添加注解
在启动类上面添加@EnableEncryptableProperties
注解,使整个 Spring 环境启用 Jasypt 加密功能,如下:
package cn.tzh.mybatis;
import com.ulisesbocchio.jasyptspringboot.annotation.EnableEncryptableProperties;
import org.mybatis.spring.annotation.MapperScan;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.transaction.annotation.EnableTransactionManagement;
/**
* @author tzh
* @date 2020/12/31 15:51
*/
@SpringBootApplication
@EnableTransactionManagement
@EnableEncryptableProperties
@MapperScan("cn.tzh.mybatis.mapper")
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
3. 获取密文
需要通过 Jasypt 官方提供的 jar 包进行加密,如下:
package cn.tzh.mybatis.util;
import com.ulisesbocchio.jasyptspringboot.properties.JasyptEncryptorConfigurationProperties;
import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.PBEConfig;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;
import java.util.UUID;
/**
* @author tzh
* @projectName code-demo
* @title JasyptUtils
* @description
* @date 2020/12/31 17:12
*/
public class JasyptUtils {
/**
* 生成一个 {@link PBEConfig} 配置对象
* <p>
* 注意!!!
* 可查看 Jasypt 全局配置对象 {@link JasyptEncryptorConfigurationProperties} 中的默认值
* 这里的配置建议与默认值保持一致,否则需要在 application.yml 中定义这里的配置(也可以通过 JVM 参数的方法)
* 注意 password 和 algorithm 配置项,如果不一致在启动时可能会解密失败而报错
*
* @param salt 盐值
* @return SimpleStringPBEConfig 加密配置
*/
private static SimpleStringPBEConfig generatePBEConfig(String salt) {
SimpleStringPBEConfig config = new SimpleStringPBEConfig();
// 设置 salt 盐值
config.setPassword(salt);
// 设置要创建的加密程序池的大小,这里仅临时创建一个,设置 1 即可
config.setPoolSize("1");
// 设置加密算法, 此算法必须由 JCE 提供程序支持,默认值 PBEWITHHMACSHA512ANDAES_256
config.setAlgorithm("PBEWithMD5AndDES");
// 设置应用于获取加密密钥的哈希迭代次数
config.setKeyObtentionIterations("1000");
// 设置要请求加密算法的安全提供程序的名称
config.setProviderName("SunJCE");
// 设置 salt 盐的生成器
config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
// 设置 IV 生成器
config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
// 设置字符串输出的编码形式,支持 base64 和 hexadecimal
config.setStringOutputType("base64");
return config;
}
/**
* 通过 {@link PooledPBEStringEncryptor} 进行加密密
*
* @param salt 盐值
* @param message 需要加密的内容
* @return 加密后的内容
*/
public static String encrypt(String salt, String message) {
PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
SimpleStringPBEConfig pbeConfig = generatePBEConfig(salt);
// 生成加密配置
encryptor.setConfig(pbeConfig);
System.out.println("----ARGUMENTS-------------------");
System.out.println("message: " + message);
System.out.println("salt: " + pbeConfig.getPassword());
System.out.println("algorithm: " + pbeConfig.getAlgorithm());
System.out.println("stringOutputType: " + pbeConfig.getStringOutputType());
// 进行加密
String cipherText = encryptor.encrypt(message);
System.out.println("----OUTPUT-------------------");
System.out.println(cipherText);
return cipherText;
}
public static String decrypt(String salt, String message) {
PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();
// 设置解密配置
encryptor.setConfig(generatePBEConfig(salt));
// 进行解密
return encryptor.decrypt(message);
}
public static void main(String[] args) {
// 随机生成一个 salt 盐值
String salt = UUID.randomUUID().toString().replace("-", "");
// 进行加密
encrypt(salt, "root");
}
}
输出:
----ARGUMENTS-------------------
message: root
salt: 2c3048c1c13046e9a0dce0fabaf5b706
algorithm: PBEWithMD5AndDES
stringOutputType: base64
----OUTPUT-------------------
hTrN3tGiVH12y4gdbtfpDHITCur5K4Uo
4. 如何使用
直接在 application.yml 配置文件中添加 Jasypt 配置和生成的密文
jasypt:
encryptor:
password: 2c3048c1c13046e9a0dce0fabaf5b706 # salt 盐值,需要和加密时使用的 salt 一致
algorithm: PBEWithMD5AndDES # 加密算法,需要和加密时使用的算法一致
string-output-type: base64 # 密文格式,,需要和加密时使用的输出格式一致
spring:
datasource:
druid:
username: root
password: ENC(hTrN3tGiVH12y4gdbtfpDHITCur5K4Uo) # Jasypt 密文格式:ENC(密文)
salt 盐值也可以通过 JVM 参数进行设置,例如:-Djasypt.encryptor.password=salt
启动后,Jasypt 会先根据配置将 ENC(密文)
进行解密,然后设置到 Spring 环境中
--------------最后感谢大家的阅读,愿大家技术越来越流弊!--------------
--------------也希望大家给我点支持,谢谢各位大佬了!!!--------------