jasypt 配置文件加解密
一.简要描述
- Spring boot配置文件中的用户名密码等配置文件一般情况下是明文保存的,这样就隐藏了密码泄露的安全隐患,所以一般都要求将密码加密后保存配置的,我们可以使用 jasypt 对 Springboot 应用中的密码进行加密。
二.引入 maven 依赖
<dependency><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-spring-boot-starter</artifactId><version>3.0.4</version>
</dependency>
三.密码原文加密
1. 采用 cmd 命令行方式加密解密
- 从本地maven库中找到jar包
.m2\repository\org\jasypt\jasypt\1.9.3
1.1 常用参数:
- input: 密码原文
- password: 加解密秘钥
- algorithm: 采用的算法
- ivGeneratorClassName: 生成器类名
- keyObtentionIterations: 迭代次数, 默认 1000
1.2 执行 cmd 加解密命令
比如用户名和密码分别是 root 和 123zxcv
1.2.1 采用算法 PBEWITHHMACSHA512ANDAES_256 执行加密命令:
java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=haha algorithm=PBEWITHHMACSHA512ANDAES_256 ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000
E:\>java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="123zxcv" password=haha algorithm=PBEWITHHMACSHA512ANDAES_256 ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000----ENVIRONMENT-----------------Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.201-b09----ARGUMENTS-------------------ivGeneratorClassName: org.jasypt.iv.RandomIvGenerator
algorithm: PBEWITHHMACSHA512ANDAES_256
input: 123zxcv
password: haha
keyObtentionIterations: 10000----OUTPUT----------------------/t8E+snZ4ODAwQU9gj0eA6MRnL98PHEGJVtOYN44wzmNKqHrY0TciomqfQg2qb2w
OUTPUT输出参数则为密文
1.2.2 采用算法 PBEWithMD5AndDES 执行加密命令:
java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=haha algorithm=PBEWithMD5AndDES ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000
E:\>java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=haha algorithm=PBEWithMD5AndDES ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000----ENVIRONMENT-----------------Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.201-b09----ARGUMENTS-------------------ivGeneratorClassName: org.jasypt.iv.RandomIvGenerator
algorithm: PBEWithMD5AndDES
input: root
password: haha
keyObtentionIterations: 10000----OUTPUT----------------------gf0gosWSje2GwnF6KWKHbaUDeI1PLo1K
1.3 执行解密命令
1.3.1 采用算法 PBEWITHHMACSHA512ANDAES_256 执行解密命令:
java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="/t8E+snZ4ODAwQU9gj0eA6MRnL98PHEGJVtOYN44wzmNKqHrY0TciomqfQg2qb2w" password=haha algorithm=PBEWITHHMACSHA512ANDAES_256 ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000
E:\>java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="/t8E+snZ4ODAwQU9gj0eA6MRnL98PHEGJVtOYN44wzmNKqHrY0TciomqfQg2qb2w" password=haha algorithm=PBEWITHHMACSHA512ANDAES_256 ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000----ENVIRONMENT-----------------Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.201-b09----ARGUMENTS-------------------ivGeneratorClassName: org.jasypt.iv.RandomIvGenerator
algorithm: PBEWITHHMACSHA512ANDAES_256
input: /t8E+snZ4ODAwQU9gj0eA6MRnL98PHEGJVtOYN44wzmNKqHrY0TciomqfQg2qb2w
password: haha
keyObtentionIterations: 10000----OUTPUT----------------------123zxcv
1.3.2 采用算法 PBEWithMD5AndDES 执行解密命令:
java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="gf0gosWSje2GwnF6KWKHbaUDeI1PLo1K" password=haha algorithm=PBEWithMD5AndDES ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000
E:\>java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input="gf0gosWSje2GwnF6KWKHbaUDeI1PLo1K" password=haha algorithm=PBEWithMD5AndDES ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator keyObtentionIterations=10000----ENVIRONMENT-----------------Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.201-b09----ARGUMENTS-------------------ivGeneratorClassName: org.jasypt.iv.RandomIvGenerator
algorithm: PBEWithMD5AndDES
input: gf0gosWSje2GwnF6KWKHbaUDeI1PLo1K
password: haha
keyObtentionIterations: 10000----OUTPUT----------------------root
2 java 代码加解密
package com.ashen.heihei.util;import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;/*** Jasypt加解密工具类* @author HY*/
public class JasyptUtil {private static final String PBEWITHMD5ANDDES = "PBEWithMD5AndDES";private static final String PBEWITHHMACSHA512ANDAES_256 = "PBEWITHHMACSHA512ANDAES_256";public static void main(String[] args) {String secret1 = encryptWithMD5("root", "haha");System.out.println(secret1);String name1 = decryptWithMD5(secret1, "haha");System.out.println(name1);String secret2 = encryptWithMD5("123zxcv", "haha");System.out.println(secret2);String name2 = decryptWithMD5(secret2, "haha");System.out.println(name2);}/*** jasypt 加密(PBEWithMD5AndDES)* @param message 待加密的原文* @param password 加解密秘钥* @return*/public static String encryptWithMD5(String message, String password) {// 1. 创建加解密工具实例StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();// 2. 加解密配置EnvironmentStringPBEConfig config = new EnvironmentStringPBEConfig();config.setAlgorithm(PBEWITHMD5ANDDES);config.setPassword(password);// 设置迭代次数config.setKeyObtentionIterations( "10000");// 为减少配置文件的书写,以下都是 Jasyp 3.x 版本,配置文件默认配置config.setPoolSize("1");config.setProviderName("SunJCE");config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");config.setStringOutputType("base64");encryptor.setConfig(config);// 3. 加密return encryptor.encrypt(message);}/*** jasypt 解密(PBEWithMD5AndDES)* @param encryptedMessage 待解密的原文* @param password 加解密秘钥* @return*/public static String decryptWithMD5(String encryptedMessage, String password) {// 1. 创建加解密工具实例StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();// 2. 加解密配置EnvironmentStringPBEConfig config = new EnvironmentStringPBEConfig();config.setAlgorithm(PBEWITHMD5ANDDES);config.setPassword(password);// 设置迭代次数config.setKeyObtentionIterations( "10000");// 为减少配置文件的书写,以下都是 Jasyp 3.x 版本,配置文件默认配置config.setPoolSize("1");config.setProviderName("SunJCE");config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");config.setStringOutputType("base64");encryptor.setConfig(config);// 3. 解密return encryptor.decrypt(encryptedMessage);}/*** jasypt 加密 (PBEWITHHMACSHA512ANDAES_256)* @param message 待加密的原文* @param password 加解密秘钥* @return*/public static String encryptWithSHA512(String message, String password) {// 1. 创建加解密工具实例PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();// 2. 加解密配置SimpleStringPBEConfig config = new SimpleStringPBEConfig();config.setPassword(password);config.setAlgorithm(PBEWITHHMACSHA512ANDAES_256);// 设置迭代次数config.setKeyObtentionIterations( "10000");// 为减少配置文件的书写,以下都是 Jasyp 3.x 版本,配置文件默认配置config.setPoolSize("1");config.setProviderName("SunJCE");config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");config.setStringOutputType("base64");encryptor.setConfig(config);// 3. 加密return encryptor.encrypt(message);}/*** jasypt 解密(PBEWITHHMACSHA512ANDAES_256)* @param encryptedMessage 待解密的原文* @param password 加解密秘钥* @return*/public static String decryptWithSHA512(String encryptedMessage, String password) {// 1. 创建加解密工具实例PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();// 2. 加解密配置SimpleStringPBEConfig config = new SimpleStringPBEConfig();config.setPassword(password);config.setAlgorithm(PBEWITHHMACSHA512ANDAES_256);// 设置迭代次数config.setKeyObtentionIterations( "10000");// 为减少配置文件的书写,以下都是 Jasyp 3.x 版本,配置文件默认配置config.setPoolSize("1");config.setProviderName("SunJCE");config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");config.setStringOutputType("base64");encryptor.setConfig(config);// 3. 解密return encryptor.decrypt(encryptedMessage);}}
三.application.yaml配置
1. jasypt相关配置
几个重要的参数:
- password: 加解密秘钥,如果该秘钥泄露,加密后会被解密,应该通过环境变量或者启动参数传递,或者在代码内对该密钥解析二次加解密
- algorithm: 采用的算法,PBEWITHMD5ANDDES、PBEWITHMD5ANDTRIPLEDES、PBEWITHSHA1ANDDESEDE、PBEWITHSHA1ANDRC2_40、PBEWITHHMACSHA512ANDAES_256,对于 PBEWITHMD5ANDTRIPLEDES、PBEWITHHMACSHA512ANDAES_256 算法,需要在 JDK 中安装 JCE 扩展库
- key-obtention-iterations: 迭代次数, 默认 1000
encryptor:password: hahaalgorithm: PBEWITHHMACSHA512ANDAES_256key-obtention-iterations: 10000
2. 数据库密码配置
- 将密码加密后用ENC()将密文括起来,jasypt会自动解析,也可通过参数 prefix: “ENC@[” 和 suffix: "]"设置其他值
spring:datasource:url: jdbc:mysql://localhost:3306/heheda?serverTimezone=Asia/Shanghai&useUnicode=true&characterEncoding=utf-8&useSSL=false&allowMultiQueries=true
# username: root
# password: 123zxcvusername: ENC(ANCT18nxVcrbxXc2niY7JBKK+4ORvGCgvEUBr4wobWn/QZjNlKLsYbuhnyHGx4lW)password: ENC(tHJC+FMYPe12iwvIj+nJkc5Vks+fPAJ9sYe2utWabbYtToxnYwjsvWjPrid8hY6M)driver-class-name: com.mysql.cj.jdbc.Drivertype: com.zaxxer.hikari.HikariDataSourcedbcp2:max-wait-millis: 10000min-idle: 5initial-size: 5max-total: 100
配置后,直接启动 springboot 即可
四.秘钥 password 安全
- 上文说过加解密秘钥 password 秘钥泄露,加密后会被解密,有以下几种方式可以对秘钥进一步保护
1.password 加到 springboot 启动参数中
java -jar jasypt-demo.jar --jasypt.encryptor.password=haha
2.作为程序启动时的应用环境变量
java -Djasypt.encryptor.password=haha -jar jasypt-demo.jar
3.password 加到系统环境变量中
- /etc/profile 中加入:
export JASYPT_ENCRYPTOR_PASSWORD=haha
jasypt:encryptor:password: ${JASYPT_ENCRYPTOR_PASSWORD}algorithm: PBEWITHHMACSHA512ANDAES_256key-obtention-iterations: 10000
4. 取消配置, 采用内部配置
- 去掉 application.yaml 中的 jasypt 相关配置,采用 @Configuration 解析
package com.ashen.heihei.config;import org.jasypt.encryption.pbe.PooledPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;/*** jasypt 加解密配置* @Author: HY*/
@Configuration
public class JasyptConfig {/*** 加解密秘钥*/private static String PASSWORD = "haha";/*** 加密算法*/private static String ALGORITHM = "PBEWITHHMACSHA512ANDAES_256";/*** 迭代次数 iterations*/private static String ITERATIONS = "10000";@Bean("jasyptStringEncryptor")public PooledPBEStringEncryptor jasyptEncryptor(){PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();SimpleStringPBEConfig config = new SimpleStringPBEConfig();config.setPassword(PASSWORD);config.setAlgorithm(ALGORITHM);config.setKeyObtentionIterations(ITERATIONS);config.setPoolSize("1");config.setProviderName("SunJCE");config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");config.setStringOutputType("base64");encryptor.setConfig(config);return encryptor;}}
五.常见异常
1.Reason: Failed to bind properties under ‘spring.datasource.password’ to java.lang.String
- 有可能密文加密解密时采用的参数不一致导致,比如采用的算法不一样,秘钥不一样,或者迭代次数不一样
2.Encryption raised an exception. A possible cause is you are using strong encryption algorithms and you have not installed the Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files in this Java Virtual Machine
- 原因是 jdk 的无限强度管辖权政策权限不够(JCE),下载一个JCE, 解压jar包,加入两个jce包替换jre下的 jdk/jre/lib/security/ 目录下权限包,
https://www.oracle.com/java/technologies/javase-jce8-downloads.html
springboot集成jasypt示例代码链接
jasypt 配置文件加解密相关推荐
- jasypt配置文件加解密
在我们的开发中不可避免的需要使用到一些密码(数据库.redis等),开发和测试环境还好,但生产如果采用明文配置讲会有安全问题. 实现配置的脱敏我使用了Java的一个加解密工具Jasypt,它提供了单密 ...
- Spring Boot 实现配置文件加解密原理
Spring Boot 配置文件加解密原理就这么简单 背景 接上文<失踪人口回归,mybatis-plus 3.3.2 发布>[1] ,提供了一个非常实用的功能 「数据安全保护」 功能,不 ...
- Springboot之Jasypt配置文件加密/解密
Jasypt配置文件加密/机密 一.Jasypt介绍 二.Springboot整合Jasypt 2.1 环境配置 2.2 添加依赖 2.3 添加Jasypt配置 2.4 编写加/解密工具类 2.5 修 ...
- Spring Cloud Config配置文件加解密
Spring Cloud Config配置文件加解密 坑爹的问题 > curl http://localhost:8888/encrypt -d 123{"description&qu ...
- boot数据加解密 spring_SpringBoot 集成 Jasypt 对数据库加密以及踩坑
前言 密码安全是非常重要的,因此我们在代码中往往需要对密码进行加密,以此保证密码的安全 加依赖 <!-- jasypt --> <dependency><groupId& ...
- SpringBoot使用jasypt加解密密码
在我们的服务中不可避免的需要使用到一些秘钥(数据库.redis等):使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些.打开application ...
- jasypt-spring-boot-starter实现加解密和数据返显
jasypt-spring-boot-starter实现加解密和数据返显 一.青铜:jasypt-spring-boot-starter在springboot中的加解密(默认加密法) 1.导包 < ...
- SpringBoot—jasypt加解密库的使用方法
关注微信公众号:CodingTechWork,一起学习进步. 概述 在开发时,经常遇到数据库连接,不可避免需要使用密码,不管是开发还是测试环境,为了安全都不建议使用明文密码,我们都需要对明文密码进 ...
- jasypt 加解密的各个版本支持,看这一篇文章就够了
文章目录 一.场景描述 二.解决方案 三.实践操作 四.测试用例 一.场景描述 在项目开发过程中,我们往往可以看到许多项目的配置文件中可以看到各种明文密码的情况,比如:数据库密码.Redis 连接 ...
最新文章
- 【CV】Pytorch一小时教程添加损失函数图像可视化训练过程
- [译] Robinhood 为什么使用 Airflow
- hadoop/hive/hbase 简单区别及应用场景
- intellij 快捷键
- git merge 回退_Git命令
- sqlplus 中@ ? !号的作用
- java集合类分析-hashset
- 虚拟机搭建DHCP服务器
- 旧文重发:程序员的七种武器
- 董明珠谈和雷军续赌约:他愿意续我当然可以,网友:先把上次的账结了
- 2019ASC世界大学生超算竞赛预赛结果出炉:20校晋级,北航第一
- linux 变量c file代表的内容.,LinuxC编程基础--mak.ppt
- UVA1584 UVALive3225 Circular Sequence【水题】
- 经济学家德鲁克的三个故事
- 海康威视二次开发 python_海康威视面试python后端题
- 巴西龟饲养日志-----黑壳虾
- A_A02_004 J-LINK驱动安装
- 如何给小朋友解释单摆运动_单摆运动
- webservice-SOAP报文抓取与分析
- 不会聊天,怎么可能找到女朋友?
热门文章
- LCD1602显示温度符号基于Arduino
- java 级数_编写一个Java程序实现级数运算。
- 项目管理中的技术风险
- iphone手机尺寸汇总
- 谷歌中国宣布启用简短域名g.cn
- 想要制作出好看的软蜡笔画?来看这份JixiPix Pastello Pro操作指南!
- 京东上位2018年财富中国500强民企第一席 首次实现全年盈利
- OutputFormat类——Hadoop
- 2020 idea 查看内存消耗_查看运行时某个java对象占用JVM大小及通过idea查看java的内存占用情况...
- phpmywind 数据记录查询