java web项目中对数据库用户名密码加密的一种解决方案

其他 2018-08-18 05:24:00 阅读次数: 0

我们使用的项目经常是这个样子的:

1 <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" 
2     destroy-method="close"  
3     p:driverClassName="oracle.jdbc.driver.OracleDriver" 
4     p:url="jdbc:oracle:thin:@127.0.0.1:1523:orcl"  
5     p:username="czw" 
6     p:password="czw" />

这里会有一个致命的问题,如果有一个具备中间件服务器机器访问权限的人,看到了这个例如applicationContext.xml的文件,并且打开该文件,智商再低下的人也会知道数据库的用户名和密码是什么。这对于对安全有一定要求的行业是必须杜绝的,这个也是在一般技术面试中会问到的一个问题。那就让我们继续往下,解答这个问题吧!

首先,我们需要将配置文件抽取到property中来:

01 <bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer" 
02     p:location="classpath:jdbc.properties" 
03     p:fileEncoding="utf-8" 
04     /> 
05        
06 <bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" 
07     destroy-method="close"  
08     p:driverClassName="${driverClassName}" 
09     p:url="${url}"  
10     p:username="${userName}" 
11     p:password="${password}" />

将上面的第一个代码修改为第二个代码,第一个类是负责抓取jdbc.properties中的属性并且填充到dataSource当中来,这样,我们就可以将所有的注意力都集中在jdbc.properties上了。

下面的问题是,如何将jdbc.properties变成一个看不明白的字符呢?我们只需要扩展PropertyPlaceholderConfigurer父类PropertyResourceConfigurer的解密方法convertProperty就可以了:

01 package com.cardDemo.commonUtil; 
02    
03 import org.springframework.beans.factory.config.PropertyPlaceholderConfigurer; 
04    
05 public class ConvertPwdPropertyConfigurer extends PropertyPlaceholderConfigurer{ 
06     @Override 
07     protected String convertProperty(String propertyName, String propertyValue) { 
08         System.out.println("=================="+propertyName+":"+propertyValue); 
09         if("userName".equals(propertyName)){ 
10             return "czw"
11         
12         if("password".equals(propertyName)){ 
13             return "czw"
14         
15         return propertyValue; 
16     
17 }

然后将上面完成的类替换配置文件中的PropertyPlaceholderConfigurer:

1 <bean class="com.cardDemo.commonUtil.ConvertPwdPropertyConfigurer" 
2     p:location="classpath:jdbc.properties" 
3     p:fileEncoding="utf-8" 
4     />

事实上,在我刚刚的Demo项目当中,里面的jdbc.properties里面的文件是如下内容的:

driverClassName=oracle.jdbc.driver.OracleDriver  
url=jdbc:oracle:thin:@127.0.0.1:1523:orcl  
userName=someOneElseUnknowUserName  
password=somePwdElseUnknowPassowrd

而实际上,真实的密码却是czw/czw

但是,在DATASOURCE里面获取到的内容,却是替换之后的正确的用户名和密码。这只是一个非常简单的例子,只是告诉我们一个解决数据库用户名和密码加密的一个渠道,比如,我们可以在PropertyPlaceholderConfigurer子类中写一些比较复杂的逻辑,比如根据jdbc.properties中配置的文件中进行各种手段的加密。在其中通过其他手段替换jdbc.propertes中的用户名和密码等等。

原文路径:https://blog.csdn.net/u010463032/article/details/79009062

猜你喜欢

转载自blog.csdn.net/yangfengjueqi/article/details/81476894
今日推荐
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
周排行
rbac——界面、权限
Apache CXF + SpringMVC 整合发布WebService
so插件化
Vue.js实战系列---图标字体制作(svg格式)
PAT乙级 1007 素数对猜想(孪生素数对) (20分) ---(C语言 + 详细注释)
被IRM保护的文档,打开失败
Calendar和Date计算日期差的小问题
win10子系统ubuntu18.4安装docker
利用Wrap Shell Script定位Android Native内存泄漏
MySQL: Transaction (Part I - Basic Concept)
每日归档
更多
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022