java web项目中对数据库用户名密码加密的一种解决方案

其他 2018-08-18 05:24:00 阅读次数: 0

我们使用的项目经常是这个样子的:

1 <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" 
2     destroy-method="close"  
3     p:driverClassName="oracle.jdbc.driver.OracleDriver" 
4     p:url="jdbc:oracle:thin:@127.0.0.1:1523:orcl"  
5     p:username="czw" 
6     p:password="czw" />

这里会有一个致命的问题,如果有一个具备中间件服务器机器访问权限的人,看到了这个例如applicationContext.xml的文件,并且打开该文件,智商再低下的人也会知道数据库的用户名和密码是什么。这对于对安全有一定要求的行业是必须杜绝的,这个也是在一般技术面试中会问到的一个问题。那就让我们继续往下,解答这个问题吧!

首先,我们需要将配置文件抽取到property中来:

01 <bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer" 
02     p:location="classpath:jdbc.properties" 
03     p:fileEncoding="utf-8" 
04     /> 
05        
06 <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" 
07     destroy-method="close"  
08     p:driverClassName="${driverClassName}" 
09     p:url="${url}"  
10     p:username="${userName}" 
11     p:password="${password}" />

将上面的第一个代码修改为第二个代码,第一个类是负责抓取jdbc.properties中的属性并且填充到dataSource当中来,这样,我们就可以将所有的注意力都集中在jdbc.properties上了。

下面的问题是,如何将jdbc.properties变成一个看不明白的字符呢?我们只需要扩展PropertyPlaceholderConfigurer父类PropertyResourceConfigurer的解密方法convertProperty就可以了:

01 package com.cardDemo.commonUtil; 
02    
03 import org.springframework.beans.factory.config.PropertyPlaceholderConfigurer; 
04    
05 public class ConvertPwdPropertyConfigurer extends PropertyPlaceholderConfigurer{ 
06     @Override 
07     protected String convertProperty(String propertyName, String propertyValue) { 
08         System.out.println("=================="+propertyName+":"+propertyValue); 
09         if("userName".equals(propertyName)){ 
10             return "czw"
11         
12         if("password".equals(propertyName)){ 
13             return "czw"
14         
15         return propertyValue; 
16     
17 }

然后将上面完成的类替换配置文件中的PropertyPlaceholderConfigurer:

1 <bean class="com.cardDemo.commonUtil.ConvertPwdPropertyConfigurer" 
2     p:location="classpath:jdbc.properties" 
3     p:fileEncoding="utf-8" 
4     />

事实上,在我刚刚的Demo项目当中,里面的jdbc.properties里面的文件是如下内容的:

driverClassName=oracle.jdbc.driver.OracleDriver  
url=jdbc:oracle:thin:@127.0.0.1:1523:orcl  
userName=someOneElseUnknowUserName  
password=somePwdElseUnknowPassowrd

而实际上,真实的密码却是czw/czw

但是,在DATASOURCE里面获取到的内容,却是替换之后的正确的用户名和密码。这只是一个非常简单的例子,只是告诉我们一个解决数据库用户名和密码加密的一个渠道,比如,我们可以在PropertyPlaceholderConfigurer子类中写一些比较复杂的逻辑,比如根据jdbc.properties中配置的文件中进行各种手段的加密。在其中通过其他手段替换jdbc.propertes中的用户名和密码等等。

原文路径:https://blog.csdn.net/u010463032/article/details/79009062

猜你喜欢

转载自blog.csdn.net/yangfengjueqi/article/details/81476894
今日推荐
新一代基于 mybatis 的 orm:mybatis-mp 1.1.5 发布
Wine 8.21 开发版发布
GIMP 3.0 预计明年 5 月发布,下月中旬冻结功能
英伟达推迟发布中国特供版 AI 芯片
LibreOffice 7.6.3 社区版发布
LibreOffice Viewer 重新上架 Google Play 商店
博通宣布成功收购 VMware
微软 Copilot Web AI 将于12月1日正式上线,支持中文
程序员篡改 ETC 余额,一年私吞 260 余万元
Xline v0.6.0 发布,用于元数据管理的分布式 KV 存储
Bun 1.0.14 版本发布:快速文件匹配、改进的依赖安装与错误消息处理
凌鲨 0.6.3 版本更新
周排行
滑动删除Item,拖拽切换Item,你想了解的都在这儿
《公正:该如何做是好》
Qt Gui 第五章绘图类
python中的张量运算(tensor)
数据分析常识积累
xzc 实训jdbc总结
关于微信小程序wx.setTabBarBadge的使用
漫谈计算机组成原理和编程语言
opencv3.4+cmake8.0+VS2012 win10安装
198.House Robber
每日归档
更多
2023-11-26(0)
2023-11-25(24)
2023-11-24(72)
2023-11-23(0)
2023-11-22(90)
2023-11-21(131)
2023-11-20(0)
2023-11-19(0)
2023-11-18(17)
2023-11-17(118)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022