数据库密码配置项都不加密?心也太大了吧!

2023-11-22 13:30

本文主要是介绍数据库密码配置项都不加密?心也太大了吧!,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

image


先看一份典型的配置文件

... 省略 ...## 配置MySQL数据库连接
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
spring.datasource.url=jdbc:mysql://121.196.xxx.xxx:3306/user?useUnicode=true&characterEncoding=utf-8
spring.datasource.username=root
spring.datasource.password=123456## 配置Redis缓存连接
redis.host=121.196.xxx.xxx
redis.port=6379
redis.password=111111## 配置SMS短信服务连接
ali.sms.access_key_id=2zHmLdxAes7Bbe2w  
ali.sms.access_key_secret=bImWdv6iy0him8ly... 省略 ...

这是节选自某个典型的Spring Boot项目的application.properties配置文件。

嘘… 偷偷告诉我,是不是很多小伙伴也都是这么写的?

这乍一看没啥问题,很多人会觉得理所当然。包括我自己也看到过很多的项目(包括很多开源项目)是这么写的。

但仔细一琢磨,发现:

image

是的! 很多项目的配置文件里,包括数据库密码、缓存密码、亦或是一些第三方服务的Key都是直接配在里面,没有做任何加密处理!

有人会说这个配置文件反正是我自己的,有啥风险?

这个嘛,之前倒是看到过一个例子,一个程序员把自己公司的项目代码上传到了自己的GitHub仓库里了,结果配置文件忘了处理,导致公司数据库泄露,关键问题是,这个公司还是个酒店管理公司,因此后果可想而知了…

image

换个角度想,假如当时那个项目的配置文件里,所有重要信息都经过了加密,那这一幕大概率就不会发生了。所以,即使是项目的配置文件,重要的信息也得加密!


哪些信息要加密呢?

一般来说,项目配置文件里,所有涉及信息安全的配置项(或字段)都应该做处理,典型的比如:

  • 用到的数据库、缓存的密码
  • 用到的中间件、消息队列的密码
  • 用到的各种第三方服务的Access_Key
  • 其他第三方服务的通信信息
  • …等等

总而言之,关键字段都应该保护起来,最起码不能用明文直接写在配置文件里!


如何加密配置项呢?

方法非常简单,几个步骤即可完成,先来演示一个最简版本:

1、首先建立一个基础的Spring Boot工程

这就不再赘述了

2、引入jasypt-spring-boot加密组件

通过jasypt-spring-boot这个开箱即用的加密组件来引入Jasypt这个强大的加密库

<dependency><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-spring-boot-starter</artifactId><version>3.0.2</version>
</dependency>

3、配置加密密钥

在Spring Boot的项目配置文件application.properties里新增如下配置:

jasypt.encryptor.password=CodeSheep

可以理解为jasypt会使用这个自定义加密密钥,对配置文件里的重要项进行加密。

4、加密测试

为了便于测试,我们直接扩展Spring Boot项目的启动类,项目启动时执行加密测试代码,直接看效果

@SpringBootApplication
public class SpringBootConfigEncryptApplication implements CommandLineRunner {@Autowiredprivate ApplicationContext appCtx;@Autowiredprivate StringEncryptor codeSheepEncryptorBean;public static void main(String[] args) {SpringApplication.run(SpringBootConfigEncryptApplication.class, args);}@Overridepublic void run(String... args) throws Exception {Environment environment = appCtx.getBean(Environment.class);// 首先获取配置文件里的原始明文信息String mysqlOriginPswd = environment.getProperty("spring.datasource.password");String redisOriginPswd = environment.getProperty("redis.password");String aliSmsOriginAk = environment.getProperty("ali.sms.access_key_secret");// 加密String mysqlEncryptedPswd = encrypt( mysqlOriginPswd );String redisEncryptedPswd = encrypt( redisOriginPswd );String aliSmsEncryptedAk = encrypt( aliSmsOriginAk );// 打印加密前后的结果对比System.out.println( "MySQL原始明文密码为:" + mysqlOriginPswd );System.out.println( "Redis原始明文密码为:" + redisOriginPswd );System.out.println( "阿里云SMS原始AccessKey密码为:" + aliSmsOriginAk );System.out.println( "====================================" );System.out.println( "MySQL原始明文密码加密后的结果为:" + mysqlEncryptedPswd );System.out.println( "Redis原始明文密码加密后的结果为:" + redisEncryptedPswd );System.out.println( "阿里云SMS原始AccessKey密码加密后的结果为:" + aliSmsEncryptedAk );}private String encrypt( String originPassord ) {String encryptStr = codeSheepEncryptorBean.encrypt( originPassord );return encryptStr;}private String decrypt( String encryptedPassword ) {String decryptStr = codeSheepEncryptorBean.decrypt( encryptedPassword );return decryptStr;}
}

运行项目,控制台打印:

MySQL原始明文密码为:123456
Redis原始明文密码为:111111
阿里云SMS原始AccessKey密码为:bImWdv13da894mly
====================================
MySQL原始明文密码加密后的结果为:IV7SyeQOfG4GhiXeGLboVgOLPDO+dJMDoOdmEOQp3KyVjruI+dKKeehsTriWPKbo
Redis原始明文密码加密后的结果为:litUkxJ3fN6+//Emq3vZ+y4o7ZOnZ8doOy7NrgJIDLoNWGG0m3ygGeQh/dEroKvv
阿里云SMS原始AccessKey密码加密后的结果为:MAhrOs20DY0RU/c1IKyLCt6dWZqLLOO4wUcK9GBgSxNII3C+y+SRptors+FyNz55xNDslhDnpWllhcYPwZsO5A==

5、修改配置文件,替换待加密配置项

我们拿到上一步得到的加密结果,将配置文件中的原始明文密码替换成上一步对应的结果即可,就像这样:

image

所以墙裂建议配置文件里的所有重要信息都这样处理!

6、查看密码解密结果

@SpringBootApplication
public class SpringBootConfigEncryptApplication implements CommandLineRunner {@Autowiredprivate ApplicationContext appCtx;@Autowiredprivate StringEncryptor codeSheepEncryptorBean;public static void main(String[] args) {SpringApplication.run(SpringBootConfigEncryptApplication.class, args);}@Overridepublic void run(String... args) throws Exception {Environment environment = appCtx.getBean(Environment.class);// 首先获取配置文件里的配置项String mysqlOriginPswd = environment.getProperty("spring.datasource.password");String redisOriginPswd = environment.getProperty("redis.password");String aliSmsOriginAk = environment.getProperty("ali.sms.access_key_secret");// 打印解密后的结果System.out.println( "MySQL原始明文密码为:" + mysqlOriginPswd );System.out.println( "Redis原始明文密码为:" + redisOriginPswd );System.out.println( "阿里云SMS原始AccessKey密码为:" + aliSmsOriginAk );}
}    

打印结果:

MySQL原始明文密码为:123456
Redis原始明文密码为:111111
阿里云SMS原始AccessKey密码为:bImWdv13da894mly

很明显,在代码中使用时,jasypt-spring-boot组件会自动将ENC()语法包裹的配置项加密字段自动解密,数据得以还原。


小朋友,你是否有很多问号?

image

这时候我想肯定很多小伙伴表示疑惑,典型的比如:

1、加密密钥必须放在ENC()中?为什么是ENC

2、虽然说原始涉及信息安全的配置项被加密,但是自定义的加密密钥jasypt.encryptor.password=CodeSheep假如泄露了,别人不还是有几率可以解密的吗?

针对这些问题,继续往下看。


自定义加密前后缀

如果不愿意使用jasypt默认提供的ENC来标记加密字段,完全可以换成自定义的前后缀标记,比如我想换成CodeSheep()来标记加密字段,此时只需要在配置文件里配置一下前后缀即可:

jasypt.encryptor.property.prefix=CodeSheep(
jasypt.encryptor.property.suffix=)

这时候加密字段就可以放在CodeSheep()标记的字段中:

image


让加密更安全

虽然经过上文的加密,涉及信息安全的配置项肯定会变得更安全,这个毋庸置疑!

但是假如配置文件里的自定义加密密钥jasypt.encryptor.password=CodeSheep泄露了,那我们的加密字段也还是有可能被别人解密,为此,有几项工作可以让加密变得更加安全。

1、使用自定义加密器

上文实验加密时,使用的是默认的加密规则,这一点会让当自定义加密密钥泄漏时可能变得不安全。为此我们可以自定义加密规则。

自定义加密规则非常简单,只需要提供自定义的加密器配置类即可,比如我这里自定义一个名为 codeSheepEncryptorBean类型的加密器:

@Configuration
public class CodeSheepEncryptorCfg {@Bean( name = "codeSheepEncryptorBean" )public StringEncryptor codesheepStringEncryptor() {PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor();SimpleStringPBEConfig config = new SimpleStringPBEConfig();config.setPassword("CodeSheep");config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256");config.setKeyObtentionIterations("1000");config.setPoolSize("1");config.setProviderName("SunJCE");config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");config.setStringOutputType("base64");encryptor.setConfig(config);return encryptor;}
}

注意这里Bean的名字name是需要显式指定的(默认的名字是jasyptStringEncryptor),如果像这里一样用的自定义名字,则还需要在Spring Boot的application.properties配置文件中来指定bean的名字,就像这样:

jasypt.encryptor.bean=codeSheepEncryptorBean

2、加密密钥不要写在配置文件中

如果觉得上面这种方式还是可能会导致加密密钥泄露的话(毕竟还是写在了配置文件中),那我们干脆可以直接将加密密钥从配置文件中拿掉,取而代之的有三种方式

  • 方式一:直接作为程序启动时的命令行参数来带入
java -jar yourproject.jar --jasypt.encryptor.password=CodeSheep
  • 方式二:直接作为程序启动时的应用环境变量来带入
java -Djasypt.encryptor.password=CodeSheep -jar yourproject.jar
  • 方式三:甚至可以作为系统环境变量的方式来带入

比方说,我们提前设置好系统环境变量JASYPT_ENCRYPTOR_PASSWORD = CodeSheep,则直接在Spring Boot的项目配置文件中做如下配置即可:

jasypt.encryptor.password=${JASYPT_ENCRYPTOR_PASSWORD:}

这时候也会安全得多。

image


嘘…

好了,说了这么多,如果你项目的配置文件中的重要信息没有加密的话,答应我,二话别说,赶快全部偷偷去改掉,快!速度!跑步前进!

image


这篇关于数据库密码配置项都不加密?心也太大了吧!的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/410476

相关文章

Java中读取YAML文件配置信息常见问题及解决方法

《Java中读取YAML文件配置信息常见问题及解决方法》:本文主要介绍Java中读取YAML文件配置信息常见问题及解决方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要... 目录1 使用Spring Boot的@ConfigurationProperties2. 使用@Valu

Jenkins分布式集群配置方式

《Jenkins分布式集群配置方式》:本文主要介绍Jenkins分布式集群配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录1.安装jenkins2.配置集群总结Jenkins是一个开源项目,它提供了一个容易使用的持续集成系统,并且提供了大量的plugin满

Java通过驱动包(jar包)连接MySQL数据库的步骤总结及验证方式

《Java通过驱动包(jar包)连接MySQL数据库的步骤总结及验证方式》本文详细介绍如何使用Java通过JDBC连接MySQL数据库,包括下载驱动、配置Eclipse环境、检测数据库连接等关键步骤,... 目录一、下载驱动包二、放jar包三、检测数据库连接JavaJava 如何使用 JDBC 连接 mys

SpringBoot线程池配置使用示例详解

《SpringBoot线程池配置使用示例详解》SpringBoot集成@Async注解,支持线程池参数配置(核心数、队列容量、拒绝策略等)及生命周期管理,结合监控与任务装饰器,提升异步处理效率与系统... 目录一、核心特性二、添加依赖三、参数详解四、配置线程池五、应用实践代码说明拒绝策略(Rejected

SpringBoot中SM2公钥加密、私钥解密的实现示例详解

《SpringBoot中SM2公钥加密、私钥解密的实现示例详解》本文介绍了如何在SpringBoot项目中实现SM2公钥加密和私钥解密的功能,通过使用Hutool库和BouncyCastle依赖,简化... 目录一、前言1、加密信息(示例)2、加密结果(示例)二、实现代码1、yml文件配置2、创建SM2工具

SQL Server配置管理器无法打开的四种解决方法

《SQLServer配置管理器无法打开的四种解决方法》本文总结了SQLServer配置管理器无法打开的四种解决方法,文中通过图文示例介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的... 目录方法一:桌面图标进入方法二:运行窗口进入检查版本号对照表php方法三:查找文件路径方法四:检查 S

MySQL数据库中ENUM的用法是什么详解

《MySQL数据库中ENUM的用法是什么详解》ENUM是一个字符串对象,用于指定一组预定义的值,并可在创建表时使用,下面:本文主要介绍MySQL数据库中ENUM的用法是什么的相关资料,文中通过代码... 目录mysql 中 ENUM 的用法一、ENUM 的定义与语法二、ENUM 的特点三、ENUM 的用法1

Spring Security中用户名和密码的验证完整流程

《SpringSecurity中用户名和密码的验证完整流程》本文给大家介绍SpringSecurity中用户名和密码的验证完整流程,本文结合实例代码给大家介绍的非常详细,对大家的学习或工作具有一定... 首先创建了一个UsernamePasswordAuthenticationTChina编程oken对象,这是S

Java中调用数据库存储过程的示例代码

《Java中调用数据库存储过程的示例代码》本文介绍Java通过JDBC调用数据库存储过程的方法,涵盖参数类型、执行步骤及数据库差异,需注意异常处理与资源管理,以优化性能并实现复杂业务逻辑,感兴趣的朋友... 目录一、存储过程概述二、Java调用存储过程的基本javascript步骤三、Java调用存储过程示

Linux中SSH服务配置的全面指南

《Linux中SSH服务配置的全面指南》作为网络安全工程师,SSH(SecureShell)服务的安全配置是我们日常工作中不可忽视的重要环节,本文将从基础配置到高级安全加固,全面解析SSH服务的各项参... 目录概述基础配置详解端口与监听设置主机密钥配置认证机制强化禁用密码认证禁止root直接登录实现双因素