Spring Boot 实现配置文件加解密原理

时间：2020-06-02 11:23:31 来源：作者：

Spring Boot 配置文件加解密原理就这么简单

背景

接上文《失踪人口回归，mybatis-plus 3.3.2 发布》[1] ，提供了一个非常实用的功能「数据安全保护」功能，不仅支持数据源的配置加密，对于 spring boot 全局的 yml /properties 文件均可实现敏感信息加密功能，在一定的程度上控制开发人员流动导致敏感信息泄露。

// 数据源敏感信息加密

spring:
  datasource:
    url: mpw:qRhvCwF4GOqjessEB3G+a5okP+uXXr96wcucn2Pev6BfaoEMZ1gVpPPhdDmjQqoM
    password: mpw:Hzy5iliJbwDHhjLs1L0j6w==
    username: mpw:Xb+EgsyuYRXw7U7sBJjBpA==

// 数据源敏感信息加密

spring:
  redis:
    password: mpw:Hzy5iliJbwDHhjLs1L0j6w==

实现原理

我们翻开 spring boot 官方文档，翻到 4.2.6 章节 Spring Boot 不提供对加密属性值的任何内置支持，但是提供修改 Spring 环境中包含的值所必需的扩展点 EnvironmentPostProcessor 允许在应用程序之前操作环境属性值

mybatis-plus 的实现

public class SafetyEncryptProcessor implements EnvironmentPostProcessor {

 @Override
 public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {
  //命令行中获取密钥
  String mpwKey = null;

  // 返回全部形式的配置源（环境变量、命令行参数、配置文件 ...）
  for (PropertySource<?> ps : environment.getPropertySources()) {
   // 判断是否需要含有加密密码，没有就直接跳过
   if (ps instanceof SimpleCommandLinePropertySource) {
    SimpleCommandLinePropertySource source = (SimpleCommandLinePropertySource) ps;
    mpwKey = source.getProperty("mpw.key");
    break;
   }
  }

  //处理加密内容（获取到原有配置，然后解密放到新的map 里面（key是原有key））
  HashMap<String, Object> map = new HashMap<>();
  for (PropertySource<?> ps : environment.getPropertySources()) {
   if (ps instanceof OriginTrackedMapPropertySource) {
    OriginTrackedMapPropertySource source = (OriginTrackedMapPropertySource) ps;
    for (String name : source.getPropertyNames()) {
     Object value = source.getProperty(name);
     if (value instanceof String) {
      String str = (String) value;
      if (str.startsWith("mpw:")) {
       map.put(name, AES.decrypt(str.substring(4), mpwKey));
      }
     }
    }
   }
  }
  // 将解密的数据放入环境变量，并处于第一优先级上 (这里一定要注意，覆盖其他配置)
  if (!map.isEmpty()) {
   environment.getPropertySources().addFirst(new MapPropertySource("custom-encrypt", map));
  }
 }
}

如何加载生效

resources/META-INF/spring.factories 配置 SPI

org.springframework.boot.env.EnvironmentPostProcessor=
  com.baomidou.mybatisplus.autoconfigure.SafetyEncryptProcessor

扩展

mybatis-plus 默认是读取启动参数，可以在此处可以根据自己需求修改为更安全的根密钥存储。

读取环境变量

System.getProperty("mpw.key")

远程加载密码服务

// 此处思路，参考 druid ConfigFilter
public Properties loadConfig(String filePath) {
      Properties properties = new Properties();

      InputStream inStream = null;
      try {
          boolean xml = false;
          if (filePath.startsWith("file://")) {
              filePath = filePath.substring("file://".length());
              inStream = getFileAsStream(filePath);
              xml = filePath.endsWith(".xml");
          } else if (filePath.startsWith("http://") || filePath.startsWith("https://")) {
              URL url = new URL(filePath);
              inStream = url.openStream();
              xml = url.getPath().endsWith(".xml");
          } else if (filePath.startsWith("classpath:")) {
              String resourcePath = filePath.substring("classpath:".length());
              inStream = Thread.currentThread().getContextClassLoader().getResourceAsStream(resourcePath);
              // 在classpath下应该也可以配置xml文件吧？
              xml = resourcePath.endsWith(".xml");
          } else {
              inStream = getFileAsStream(filePath);
              xml = filePath.endsWith(".xml");
          }

          if (inStream == null) {
              LOG.error("load config file error, file : " + filePath);
              return null;
          }

          if (xml) {
              properties.loadFromXML(inStream);
          } else {
              properties.load(inStream);
          }

          return properties;
      } catch (Exception ex) {
          LOG.error("load config file error, file : " + filePath, ex);
          return null;
      } finally {
          JdbcUtils.close(inStream);
      }
  }

总结

配置文件加解密，是通过自定义扩展 EnvironmentPostProcessor 实现
若项目中没有使用最新版本 mybatis-plus ，可以参考如上自己实现，不过我推荐 jasypt-spring-boot-starter[2] ,原理类似实现了一个 EnableEncryptablePropertySourcesPostProcessor ,但是支持的加密方式更多更成熟
关于 jasypt 使用可以参考源码: https://gitee.com/log4j/pig

Tags：Spring Boot 点击:() 评论:()

声明：本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com)，我们将及时更正、删除，谢谢。

▌相关推荐

Spring Boot 集成 MyBatis

大家都知道，MyBatis 框架是一个持久层框架，是 Apache 下的顶级项目。Mybatis 可以让开发者的主要精力放在 sql 上，通过 Mybatis 提供的映射方式，自由灵活的生成满足需要的 sql 语句。使用简单的 XML 或注解来配置和映射原...【详细内容】

2021-07-06　　Tags: Spring Boot 点击:(96)　　评论:(0)　　加入收藏

15000 字详解 Spring Boot 注解

首先，先看 SpringBoot 的主配置类：@SpringBootApplicationpublicclassStartEurekaApplication{publicstaticvoidmain(String[] args){SpringApplication.run(StartEurekaAppli...【详细内容】

2021-06-11　　Tags: Spring Boot 点击:(144)　　评论:(0)　　加入收藏

Spring Boot 中如何统一 API 接口响应格式？

今天又要给大家介绍一个 Spring Boot 中的组件 --HandlerMethodReturnValueHandler。在前面的文章中（如何优雅的实现 Spring Boot 接口参数加密解密？），松哥已经和大家介绍过如何...【详细内容】

2021-03-24　　Tags: Spring Boot 点击:(297)　　评论:(0)　　加入收藏

使用Spring Boot Admin实时监控你的系统

环境：SpringBoot2.3.9.RELEASE + SpringBootAdmin2.3.1说明：如果使用SpringBootAdmin2.4.*版本那么SpringBoot的版本也必须是2.4.*否则启动报错。Spring Boot Admin（SBA）是一个...【详细内容】

2021-03-22　　Tags: Spring Boot 点击:(350)　　评论:(0)　　加入收藏

Spring Boot 使用拦截器优雅打印接口响应时间

在平常的开发过程中，我们经常需要对接口响应时间进行优化，但是呢个人感觉每次都去看浏览器的网络请求比较麻烦，因此，小编自己自己手写代码实现在控制台打印接口响应时间，这样非常...【详细内容】

2020-12-23　　Tags: Spring Boot 点击:(713)　　评论:(0)　　加入收藏

Spring Boot 的接口限流算法优缺点深度分析

前言在一个高并发系统中对流量的把控是非常重要的，当巨大的流量直接请求到我们的服务器上没多久就可能造成接口不可用，不处理的话甚至会造成整个应用不可用。那么何为限流呢？顾...【详细内容】

2020-12-15　　Tags: Spring Boot 点击:(121)　　评论:(0)　　加入收藏

从 Spring Boot 程序启动深入理解 Netty 异步架构原理

对于高性能的 RPC 框架，Netty 作为异步通信框架，几乎成为必备品。例如，Dubbo 框架中通信组件，还有 RocketMQ 中生产者和消费者的通信，都使用了 Netty。今天，我们来看看 Netty 的基...【详细内容】

2020-12-14　　Tags: Spring Boot 点击:(95)　　评论:(0)　　加入收藏

学会使用 Spring Boot 的异步调用

可以先释放容器分配给请求的线程与相关资源，减轻系统负担，释放了容器所分配线程的请求，其响应将被延后，可以在耗时处理完成（例如长时间的运算）时再对客户端进行响应。...【详细内容】

2020-12-11　　Tags: Spring Boot 点击:(72)　　评论:(0)　　加入收藏

Spring Boot 优雅地实现接口参数校验

今天继续为大家分享在工作中如何优雅的校验接口的参数的合法性以及如何统一处理接口返回的json格式。每个字都是干货，原创不易，分享不易。 validation主要是校验用户提交的数...【详细内容】

2020-11-19　　Tags: Spring Boot 点击:(165)　　评论:(0)　　加入收藏

Spring Boot Debug 调试秘籍，日后必定有用

最近发现 Spring Boot 本地不能 Debug 调试了，原来 Spring Boot 升级后，对应插件的命令参数都变了，故本文做一个升级。背景：Spring Boot 项目在使用 Spring Boot Maven 插件执行...【详细内容】

2020-11-11　　Tags: Spring Boot 点击:(121)　　评论:(0)　　加入收藏

▌简易百科推荐

FastAPI - 一款新型的 Python Web 框架(对比 Flask)

近日只是为了想尽办法为 Flask 实现 Swagger UI 文档功能，基本上要让 Flask 配合 Flasgger, 所以写了篇 Flask 应用集成 Swagger UI 。然而不断的 Google 过程中偶然间发现了...【详细内容】

2021-12-23　　Python阿杰　　　　Tags:FastAPI 　点击:(6)　　评论:(0)　　加入收藏

Java 之任务调度框架

文章目录1、Quartz1.1 引入依赖<dependency> <groupId>org.quartz-scheduler</groupId> <artifactId>quartz</artifactId> <version>2.3.2</version></dependency>...【详细内容】

2021-12-22　　java老人头　　　　Tags:框架　点击:(12)　　评论:(0)　　加入收藏

16张图解锁Spring的整体脉络

今天来梳理下 Spring 的整体脉络啦，为后面的文章做个铺垫~后面几篇文章应该会讲讲这些内容啦 Spring AOP 插件（了好久都忘了）分享下 4ye 在项目中利用 AOP + MybatisPlus 对...【详细内容】

2021-12-07　　Java4ye　　　　Tags:Spring 　点击:(14)　　评论:(0)　　加入收藏

SpringSecurity实现自定义登录界面

&emsp;前面通过入门案例介绍，我们发现在SpringSecurity中如果我们没有使用自定义的登录界面，那么SpringSecurity会给我们提供一个系统登录界面。但真实项目中我们一般都会使用...【详细内容】

2021-12-06　　波哥带你学Java　　　　Tags:SpringSecurity 　点击:(18)　　评论:(0)　　加入收藏

前端开发中需要掌握的开发框架React

React 简介 React 基本使用<div id="test"></div><script type="text/javascript" src="../js/react.development.js"></script><script type="text/javascript" src="../js...【详细内容】

2021-11-30　　清闲的帆船先生　　　　Tags:框架　点击:(19)　　评论:(0)　　加入收藏

Kubernetes 原生 CI/CD 构建框架 Argo

流水线（Pipeline）是把一个重复的过程分解为若干个子过程，使每个子过程与其他子过程并行进行的技术。本文主要介绍了诞生于云原生时代的流水线框架 Argo。什么是流水线？在计算机...【详细内容】

2021-11-30　　叼着猫的鱼　　　　Tags:框架　点击:(21)　　评论:(0)　　加入收藏

2022 python图形界面框架推荐

TKinterThinter 是标准的python包，你可以在linx,macos,windows上使用它，你不需要安装它，因为它是python自带的扩展包。它采用TCL的控制接口，你可以非常方便地写出图形界面，如...【详细内容】

2021-11-30　　　　梦回故里归来　　Tags:框架　点击:(27)　　评论:(0)　　加入收藏

如何定义SpringBoot项目配置文件中密码的加密

前言项目中的配置文件会有密码的存在，例如数据库的密码、邮箱的密码、FTP的密码等。配置的密码以明文的方式暴露，并不是一种安全的方式，特别是大型项目的生产环境中，因为配置文...【详细内容】

2021-11-17　　充满元气的java爱好者　　博客园　　Tags:SpringBoot 　点击:(25)　　评论:(0)　　加入收藏

java开发框架之SSM整合框架

一、搭建环境1、创建数据库表和表结构create table account(id INT identity(1,1) primary key,name varchar(20),[money] DECIMAL2、创建maven的工程SSM，在pom.xml文件引入...【详细内容】

2021-11-11　　AT小白在线中　　搜狐号　　Tags:开发框架　点击:(29)　　评论:(0)　　加入收藏

SpringBoot开发的物联网通信平台系统，值得收藏学习

SpringBoot开发的物联网通信平台系统项目功能模块功能说明 MQTT 1.SSL支持 2.集群化部署时暂不支持retain&will类型消 UDP ...【详细内容】

2021-11-05　　小程序建站　　　　Tags:SpringBoot 　点击:(56)　　评论:(0)　　加入收藏

推荐资讯

聊聊如何自定义数据脱	河南人到底有多爱吃面
人称“犬中四煞”的4	离婚后，约定每月给孩子
“三皇五帝”分别是哪	印度低种姓群体如何翻
日本研发“飞行摩托”	2021年Steam最畅销游