Spring Boot 配置文件加解密原理就这么简单
背景接上文《失踪人口回归 , mybatis-plus 3.3.2 发布》[1] , 提供了一个非常实用的功能 「数据安全保护」 功能 , 不仅支持数据源的配置加密 , 对于 spring boot 全局的 yml /properties 文件均可实现敏感信息加密功能 , 在一定的程度上控制开发人员流动导致敏感信息泄露 。
// 数据源敏感信息加密
spring:datasource:url: mpw:qRhvCwF4GOqjessEB3G+a5okP+uXXr96wcucn2Pev6BfaoEMZ1gVpPPhdDmjQqoMpassword: mpw:Hzy5iliJbwDHhjLs1L0j6w==username: mpw:Xb+EgsyuYRXw7U7sBJjBpA==
// 数据源敏感信息加密
spring:redis:password: mpw:Hzy5iliJbwDHhjLs1L0j6w==
实现原理我们翻开 spring boot 官方文档 , 翻到 4.2.6 章节 Spring Boot 不提供对加密属性值的任何内置支持 , 但是提供修改 Spring 环境中包含的值所必需的扩展点 EnvironmentPostProcessor 允许在应用程序之前操作环境属性值
文章插图
mybatis-plus 的实现
public class SafetyEncryptProcessor implements EnvironmentPostProcessor { @Override public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {//命令行中获取密钥String mpwKey = null;// 返回全部形式的配置源(环境变量、命令行参数、配置文件 ...)for (PropertySource<?> ps : environment.getPropertySources()) {// 判断是否需要含有加密密码 , 没有就直接跳过if (ps instanceof SimpleCommandLinePropertySource) {SimpleCommandLinePropertySource source = (SimpleCommandLinePropertySource) ps;mpwKey = source.getProperty("mpw.key");break;}}//处理加密内容(获取到原有配置 , 然后解密放到新的map 里面(key是原有key))HashMap<String, Object> map = new HashMap<>();for (PropertySource<?> ps : environment.getPropertySources()) {if (ps instanceof OriginTrackedMapPropertySource) {OriginTrackedMapPropertySource source = (OriginTrackedMapPropertySource) ps;for (String name : source.getPropertyNames()) {Object value = https://www.isolves.com/it/cxkf/kj/2020-06-02/source.getProperty(name);if (value instanceof String) {String str = (String) value;if (str.startsWith("mpw:")) {map.put(name, AES.decrypt(str.substring(4), mpwKey));}}}}}// 将解密的数据放入环境变量 , 并处于第一优先级上 (这里一定要注意 , 覆盖其他配置)if (!map.isEmpty()) {environment.getPropertySources().addFirst(new MapPropertySource("custom-encrypt", map));} }}
如何加载生效resources/META-INF/spring.factories 配置 SPI
org.springframework.boot.env.EnvironmentPostProcessor=com.baomidou.mybatisplus.autoconfigure.SafetyEncryptProcessor
扩展mybatis-plus 默认是读取启动参数 , 可以在此处可以根据自己需求修改为更安全的根密钥存储 。读取环境变量
System.getProperty("mpw.key")
远程加载密码服务// 此处思路 , 参考 druid ConfigFilterpublic Properties loadConfig(String filePath) {Properties properties = new Properties();InputStream inStream = null;try {boolean xml = false;if (filePath.startsWith("file://")) {filePath = filePath.substring("file://".length());inStream = getFileAsStream(filePath);xml = filePath.endsWith(".xml");} else if (filePath.startsWith("http://") || filePath.startsWith("https://")) {URL url = new URL(filePath);inStream = url.openStream();xml = url.getPath().endsWith(".xml");} else if (filePath.startsWith("classpath:")) {String resourcePath = filePath.substring("classpath:".length());inStream = Thread.currentThread().getContextClassLoader().getResourceAsStream(resourcePath);// 在classpath下应该也可以配置xml文件吧?xml = resourcePath.endsWith(".xml");} else {inStream = getFileAsStream(filePath);xml = filePath.endsWith(".xml");}if (inStream == null) {LOG.error("load config file error, file : " + filePath);return null;}if (xml) {properties.loadFromXML(inStream);} else {properties.load(inStream);}return properties;} catch (Exception ex) {LOG.error("load config file error, file : " + filePath, ex);return null;} finally {JdbcUtils.close(inStream);}}
总结- 配置文件加解密 , 是通过自定义扩展 EnvironmentPostProcessor 实现
- 若项目中没有使用最新版本 mybatis-plus , 可以参考如上自己实现 , 不过我推荐 jasypt-spring-boot-starter[2] ,原理类似实现了一个 EnableEncryptablePropertySourcesPostProcessor ,但是支持的加密方式更多更成熟
- 关于 jasypt 使用可以参考源码: https://gitee.com/log4j/pig
【Spring Boot 实现配置文件加解密原理】
推荐阅读
- linux下高并发服务器实现
- 实现树结构的基本算法和相应的数据结构
- MAC如何实现屏幕缩放
- 用Nginx实现接口慢查询并可示化展示TOP 20
- PHP进阶教程-实现一个简单的MySQL连接池
- 用 Python 实现每秒处理 120 万次 HTTP 请求
- Spring Boot 常见错误及解决方法
- 完整版 Linux技巧:使用bash read命令实现一个简易shell
- 公司来位腾讯大牛,看完我构建的Spring MVC框架,甩给我一份文档
- SpringBoot代码生成器,让你释放双手,从此不用手撸代码