Spring Boot 实现配置文件加解密原理

网友投稿 374 2022-12-05


Spring Boot 实现配置文件加解密原理

背景

接上文《失踪人口回归,mybatis-plus 3.3.2 发布》[1] ,提供了一个非常实用的功能 「数据安全保护」 功能,不仅支持数据源的配置加密,对于 spring boot 全局的 yml /properties 文件均可实现敏感信息加密功能,在一定的程度上控制开发人员流动导致敏感信息泄露。

// 数据源敏感信息加密

spring:

datasource:

url: mpw:qRhvCwF4GOqjessEB3G+a5okP+uXXr96wcucn2Pev6BfaoEMZ1gVpPPhdDmjQqoM

password: mpw:Hzy5iliJbwDHhjLs1L0j6w==

username: mpw:Xb+EgsyuYRXw7U7sBJjBpA==

// 数据源敏感信息加密

spring:

redis:

password: mpw:Hzy5iliJbwDHhjLs1L0j6w==

实现原理

我们翻开 spring boot 官方文档,翻到 4.2.6 章节 Spring Boot 不提供对加密属性值的任何内置支持,但是提供修改 Spring 环境中包含的值所必需的扩展点 EnvironmentPostProcessor 允许在应用程序之前操作环境属性值

mybatis-plus 的实现

public class SafetyEncryptProcessor implements EnvironmentPostProcessor {

@Override

public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {

//命令行中获取密钥

String mpwKey = null;

// 返回全部形式的配置源(环境变量、命令行参数、配置文件 ...)

for (PropertySource> ps : environment.getPropertySources()) {

// 判断是否需要含有加密密码,没有就直接跳过

if (ps instanceof SimpleCommandLinePropertySource) {

SimpleCommandLinePropertySource source = (SimpleCommandLinePropertySource) ps;

mpwKey = source.getProperty("mpw.key");

break;

}

}

//处理加密内容(获取到原有配置,然后解密放到新的map 里面(key是原有key))

HashMap map = new HashMap<>();

for (PropertySource> ps : environment.getPropertySources()) {

if (ps instanceof OriginTrackedMapPropertySource) {

OriginTrackedMapPropertySource source = (OriginTrackedMapPropertySource) ps;

for (String name : source.getPropertyNames()) {

Object value = source.getProperty(name);

if (value instanceof String) {

String str = (String) value;

if (str.startsWith("mpw:")) {

map.put(name, AES.decrypt(str.substring(4), mpwKey));

}

}

}

}

}

// 将解密的数据放入环境变量,并处于第一优先级上 (这里一定要注意,覆盖其他配置)

if (!map.isEmpty()) {

environment.getPropertySources().addFirst(new MapPropertySource("custom-encrypt", map));

}

}

}

如何加载生效

resources/META-INF/spring.factories 配置 SPI

org.springframework.boohttp://t.env.EnvironmentPostProcessor=\

com.baomidou.mybatisplus.autoconfigure.SafetyEncryptProcessor

扩展

mybatis-plus 默认是读取启动参数,可以在此处可以根据自己需求修改为更安全的根密钥存储。

读取环境变量

System.getProperty("mpw.key")

远程加载密码服务

// 此处思路,参考 druid ConfigFilter

public Properties loadConfig(String filePath) {

Properties properties = new Properties();

InputStream inStream = null;

try {

boolean xml = false;

if (filePath.startsWith("file://")) {

filePath = filePath.substring("file://".length());

inStream = getFileAsStream(filePath);

xml = filePath.endsWith(".xml");

} else if (filePath.startsWith("http://") || filePath.startsWith("https://")) {

URL url = new URL(filePath);

inStream = url.openStream();

xml = url.getPath().endsWith(".xml");

} else if (filePath.startsWith("classpath:")) {

String resourcePath = filePath.substring("classpath:".length());

inStream = Thread.currentThread().getContextClassLoader().getResourceAsStream(resourcePath);

// 在classpath下应该也可以配置xml文件吧?

xml = resourcePath.endsWith(".xml");

} else {

inStream = getFileAsStream(filePath);

xml = filePath.endsWith(".xml");

}

if (inStream == null) {

LOG.error("load config file error, file : " + filePath);

return null;

}

if (xml) {

properties.loadFromXML(inStream);

} else {

properties.load(inStream);

}

return properties;

} catch (Exception ex) {

LOG.error("load config file error, file : " + filePath, ex);

return null;

} finally {

JdbcUtils.close(inStream);

}

}

总结

配置文件加解密,是通过自定义扩展 EnvironmentPostProcessor 实现

若项目中没有使用最新版本 mybatis-plus ,可以参考如上自己实现,不过我推荐 jasypt-spring-boot-starter[2] ,原理类似实现了一个 EnableEncryptablePropertySourcesPostProcessor ,但是支持的加密方式更多更成熟

关于 jasypt 使用可以参考源码: https://gitee.com/log4j/pig


版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:Java实现线程同步方法及原理详解
下一篇:Spring异常捕获且回滚事务解决方案
相关文章

 发表评论

暂时没有评论,来抢沙发吧~