SrpingDruid数据源加密数据库密码的示例代码

SrpingDruid数据源加密数据库密码的示例代码

前言

在工作中遇到这样一个问题：开发过程中将数据库的账号、密码等信息配置在了一个单独的properties配置文件中（使用明文）。但运维人员要求在配置文件中的密码一律不得出现明文。

环境

Spring 4.2.6.RELEASE

MyBatis 3.4.1

Druid 1.0.14

改造思路

一般spring容器启动时，通过PropertyPlaceholderConfigurer类读取jdbc.properties文件里的数据库配置信息。通过这个原理，我们把加密后的数据库配置信息放到jdbc.properties文件里，然后自定义一个继承PropertyPlaceholderConfigurer的类重写processProperties方法，实现解密，把解密后的信息又放回去。

而Druid已经帮我们实现了上面的功能，我们只需要更改相关的配置即可。

1.生成数据库密码密文，替换明文。

2.更改spring配置文件中的数据源配置，开启数据库密码解密。

改造过程

项目源码地址

生成密文

在druid-1.0.14.jar所在目录执行命令

复制代码 代码如下:

java -cp druid-1.0.14.jar com.alibaba.druid.filter.config.ConfigTools

生成对应的密文，复制到数据库配置文件中。

更改Druid数据源配置

开启数据库密码解密，在

中添加如下属性：

遇到的问题

遇到以下错误：

[20/10/17 12:30:29:029 CST] Druid-ConnectionPool-Create-1225284770 ERROR pool.DruidDataSource: create connection error, url: jdbc:mysql://localhost:3306/common?useUnicode=true&characterEncoding=utf-8

java.sql.SQLException: Access denied for user 'root'@'localhost' (using password: YES)

at com.mysql.jdbc.SQLError.createSQLException(SQLError.java:1084)

at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:4232)

at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:4164)

at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:926)

at com.mysql.jdbc.MysqlIO.proceedHandshakeWithPluggableAuthentication(MysqlIO.java:1748)

at com.mysql.jdbc.MysqlIO.doHandshake(MysqlIO.java:1288)

at com.myshttp://ql.jdbc.ConnectionImpl.coreConnect(ConnectionImpl.java:2506)

at com.mysql.jdbc.ConnectionImpl.connectOneTryOnly(ConnectionImpl.java:2539)

at com.mysql.jdbc.ConnectionImpl.createNewIO(ConnectionImpl.java:2321)

at com.mysql.jdbc.ConnectionImpl.(ConnectionImpl.java:832)

at com.mysql.jdbc.JDBC4Connection.(JDBC4Connection.java:46)

at sun.reflect.GeneratedConstructorAccessor4.newInstance(Unknown Source)

at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45)

at java.lang.reflect.Constructor.newInstance(Constructor.java:526)

at com.mysql.jdbc.Util.handleNewInstance(Util.java:409)

at com.mysql.jdbc.ConnectionImpl.getInstance(ConnectionImpl.java:417)

at com.mysql.jdbc.NonRegisteringDriver.connect(NonRegisteringDriver.java:344)

at com.alibaba.druid.filtehttp://r.FilterChainImpl.connection_connect(FilterChainImpl.java:148)

at com.alibaba.druid.filter.stat.StatFilter.connection_connect(StatFilter.java:211)

at com.alibaba.druid.filter.FilterChainImpl.connection_connect(FilterChainImpl.java:142)

at com.alibaba.druid.pool.DruidAbstractDataSource.createPhysicalConnection(DruidAbstractDataSource.java:1377)

at com.alibaba.druid.pool.DruidAbstractDataSource.createPhysicalConnection(DruidAbstractDataSource.java:1431)

at com.alibaba.druid.pool.DruidDataSource$CreateConnectionThread.run(DruidDataSource.java:1861)

也就是说，加解密并没有生效，因此数据库认为密码错误，拒绝连接。

经对比，发现数据源中的属性值不对，应该为。

为什么filters为mergeStat就不对呢？

查看src/main/java/com/alibaba/druid/filter/config/ConfigFilter.java源码：

在注释43行，可以看到dataSource.setFilters("config");，因此这里不是说mergeStat不行，而是缺少config的配置。

更多配置请参考wiki。

总结

必须为spring项目，否则无法生效。在只含MyBatis和Druid（不含spring）的程序中使用上面的改造，发现还是无法正确连接数据库。

Druid dataSource配置中filters属性不应为mergeStat，否则无法生效。

为Druid数据源打call，说它是优秀的Java数据源一点也不为过。

升级druid到高版本

参考资料：druid wiki：使用ConfigFilter

主要变化有两处：

1.生成的密码有公钥、私钥、签名之分。

2.配置文件中需要配置签名和公钥，spring配置文件也需要相应更改为：

复制代码 代码如下:

错误：failed to decrypt 和 java.security.NoSuchAlgorithmException:Cannot find any provider supporting RSA/ECB/PKCS1Padding

进一步说明：该问题在Eclipse直接启动中不会出现，但部署到服务器上会出现。

原因：在解密步骤中出错，找不到支持RSA/ECB/PKCS1Padding等和解密相关的算法相关的提供者。

解决：将${JAVA_HOME}\lib\ext目录下的sunjce_provider.jar添加到classpath目录下。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。