springboot实现配置文件关键信息加解密

本文主要是介绍springboot实现配置文件关键信息加解密，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

《springboot实现配置文件关键信息加解密》在项目配置文件中常常会配置如数据库连接信息,redis连接信息等,连接密码明文配置在配置文件中会很不安全,所以本文就来聊聊如何使用springboot...

前言

在项目配置文件中常常会配置如数据库连接信息、Redis连接信息，而连接密码明文配置在配置文件中会很不安全，所以就会将密码信息加密后放在配置文件中，在启动项目时自动解密转换成明文后进行连接，防止密码泄露。

方案

1、实现 EnvironmentPostProcessor 接口

2、引入 jasypt-spring-boot-starter 依赖

实践

1、第一种方案

EnvironmentPostProcessor 是 Spring Boot 提供的一个接口，用于在 Spring Boot 的 Environment 初始化完成后对其进行进一步的处理。它允许你在 Spring Boot 的配置加载阶段动态修改或增强 Environment 的内容，例如添加额外的配置源、修改属性值等。 ### 作用和用途

EnvironmentPostProcessor 的主要作用是在 Spring Boot 的启动过程中，对 Environment 对象进行扩展或修改。它通常用于以下场景：

动态添加配置源：例如，从远程配置中心（如 Spring Cloud Config Server、Consul 等）加载配置。
修改或覆盖配置属性：例如，根据环境变量或命令行参数动态调整某些配置值。
解析加密的配置属性：例如，解密配置文件中加密的敏感信息。
添加自定义的配置解析逻辑：例如，支持自定义的配置文件格式或解析规则。

使用方法

实现 EnvironmentPostProcessor 接口，并将自定义实现类注册到springboot中

import org.springframework.boot.SpringApplication;
import org.springframework.boot.env.EnvironmentPostProcessor;
import org.springframework.core.Ordered;
import org.springframework.core.annotation.Order;
import orgphp.springframework.core.env.ConfigurableEnvironment;
import org.springframework.core.env.MapPropertySource;

import Java.util.HashMap;
import java.util.Map;

/**
 * 自定义EnvironmentPostProcessor，在spring启动前将遍历配置文件中是否有加密的值，将加密的值按自定义解密工具进行解密
 */
@Order(Ordered.HIGHEST_PRECEDENCE)
public class DecryptEnvironmentPostProcessor implements EnvironmentPostProcessor {

    @Override
    public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {
        environment.getPropertySources().forEach(propertySource -> {
            if (propertySource instanceof MapPropertySource) {
                MapPropertySource mapSource = (MapPropertySource) propertySource;
                Map<String, Object> originalSource = mapSource.getSource();

     www.chinasem.cn           // 创建新的可修改 Map 副本
                Map<String, Object> decryptedSource = new HashMap<>(originalSource);

                // 遍历并解密值
                decryptedSource.replaceAll((key, value) -> {
                    if (value instanceof String) {
                        String strValue = (String) value;
                        if (strValue.startsWith("ENC(") && strValue.endsWith(")")) {
                            String encryptedContent = strValue.substring(4, strValue.length() - 1);
                            return AESEncryptionUtils.decrypt(encryptedContent);
                        }
                    }
                    return value;
                });

                // 用解密后的 Map 替换原 PropertySource
                environment.getPropertySources().replace(
                        mapSource.getName(),
                        new MapPropertySource(mapSource.getName(), decryptedSource)
                );
            }
        });
    }
}

在 META-INF/spring.factories 文件中注册你的 EnvironmentPostProcessor。

org.springframework.boot.env.EnvironmentPostProcessor=\
  com.example.DecryptEnvironmentPostProcessor

自定义加解密工具类

import javax.crypto.Cipher;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.util.Base64;
import java.security.SecureRandom;

public class AESEncryptionUtils {

    private static final String ALGORITHM = "AES/CBC/PKCS5Padding"; // 使用 CBC 模式 + PKCS5 填充
    private static final String SECRET_KEY = "oJ51lypwUNzBIFXO"; // 密钥环境变量名称

    /**
     * 加密明文
     * @param plaintext 待加密的明文
     * @return 格式为 "Base64(IV):Base64(密文)" 的字符串
     */
    public static String encrypt(String plaintext) {
        try {
            // 生成随机 IV
            byte[] ivbytes = new byte[16];
            SecureRandom random = new SecureRandom();
            random.nextBytes(ivBytes);
            IvParameterSpec iv = new IvParameterSpec(ivBytes);

            // 初始化加密器
            SecretKeySpec keySpec = new SecretKeySpec(SECRET_KEY.getBytes(StandardCharsets.UTF_8), "AES");
            Cipher cipher = Cipher.getInstance(ALGORITHM);
            cipher.init(Cipher.ENCRYPT_MODE, keySpec, iv);

            // 执行加密
            byte[] encryptedBytes = cipher.doFinal(plaintext.getBytes(StandardCharsets.UTF_8));

            // 组合 IV 和密文，用 Base64 编码
            String iVBAse64 = Base64.getEncoder().encodeToString(ivBytes);
            String encryptedBase64 = Base64.getEncoder().encodeToString(encryptedBytes);
            return ivBase64 + ":" + encryptedBase64;
        } catch (Exception epython) {
            throw new RuntimeException("加密失败", e);
        }
    }

    /**
     * 解密密文
     * @param encryptedText 格式为 "Base64(IV):Base64(密文)" 的字符串
     * @return 解密后的明文
     */
    public static String decrypthttp://www.chinasem.cn(String encryptedText) {
        try {
            // 拆分 IV 和密文
            String[] parts = encryptedText.split(":");
            if (parts.length != 2) {
                throw new IllegalArgumentException("无效的加密格式");
            }
            byte[] ivBytes = Base64.getDecoder().decode(parts[0]);
            byte[] encryptedBytes = Base64.getDecoder().decode(parts[1]);

            // 初始化解密器
            IvParameterSpec iv = new IvParameterSpec(ivBytes);
            SecretKeySpec keySpec = new SecretKeySpec(SECRET_KEY.getBytes(StandardCharsets.UTF_8), "AES");
            Cipher cipher = Cipher.getInstance(ALGORITHM);
            cipher.init(Cipher.DECRYPT_MODE, keySpec, iChina编程v);

            // 执行解密
            byte[] decryptedBytes = cipher.doFinal(encryptedBytes);
            return new String(decryptedBytes, StandardCharsets.UTF_8);
        } catch (Exception e) {
            throw new RuntimeException("解密失败", e);
        }
    }
}

2、第二种方案

引入依赖

在项目的 pom.XML 文件中添加以下依赖：

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.4</version>
</dependency>

配置 jasypt 信息

jasypt:
  encryptor:
    password: encryption-key
    algorithm: PBEWithMD5AndDES
    iv-generator-classname: org.jasypt.iv.NoIvGenerator

密码加密

从 Jasypt 官方网站或 Maven 中央仓库下载 jasypt-1.9.3.jar。

使用 Jasypt 的命令行工具对配置信息进行加密。例如，加密数据库密码：

java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="123456" password=encryption-key algorithm=PBEWithMD5AndDES

上述命令会输出一个加密后的字符串，例如：

springboot实现配置文件关键信息加解密

在配置文件中配置加密后的字符串：

spring:
  datasource:
    password: ENC(pxaWXichlG6mranljAUiZQ==)

在应用启动时，jasypt 会使用密钥解密 ENC() 中的内容，并将其值注入到对应的配置属性中。

jasypt 加解密工具类

import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;

/**
 * jasypt 解密工具类
 */
public class EncryptionUtil {

    public static String encrypt(String input, String password) {
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        encryptor.setPassword(password);
        return encryptor.encrypt(input);
    }

    public static String decrypt(String encryptedValue, String password) {
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        encryptor.setPassword(password);
        return encryptor.decrypt(encryptedValue);
    }
}

补充

jasypt 密钥配置到配置文件中其实也不太安全，更安全的做法是将密钥配置到环境变量中或设置在启动命令中

export JASYPT_ENCRYPTOR_PASSWORD=your-encryption-key

java -jar your-application.jar --jasypt.encryptor.password=your-encryption-key

到此这篇关于springboot实现配置文件关键信息加解密的文章就介绍到这了,更多相关springboot配置文件信息加解密内容请搜索China编程(www.chinasem.cn)以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程China编程(www.chinasem.cn)！

这篇关于springboot实现配置文件关键信息加解密的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

springboot实现配置文件关键信息加解密

目录

前言

方案

实践

1、第一种方案

2、第二种方案

相关文章

Python如何实现高效的文件/目录比较

聊聊springboot中如何自定义消息转换器

Springboot项目构建时各种依赖详细介绍与依赖关系说明详解

Spring Boot 整合 SSE(Server-Sent Events)实战案例(全网最全)

Spring Security 前后端分离场景下的会话并发管理

Java整合Protocol Buffers实现高效数据序列化实践

Python脚本轻松实现检测麦克风功能

Java实现本地缓存的四种方法实现与对比

MyBatis-Plus 与 Spring Boot 集成原理实战示例

Java高效实现Word转PDF的完整指南