Spring Boot 配置文件加解密原理就这么简单

背景

接上文《失踪人口回归,mybatis-plus 3.3.2 发布》[1] ,提供了一个非常实用的功能 「数据安全保护」 功能,不仅支持数据源的配置加密,对于 spring boot 全局的 yml /properties 文件均可实现敏感信息加密功能,在一定的程度上控制开发人员流动导致敏感信息泄露。

// 数据源敏感信息加密

spring:

  datasource:

    url: mpw:qRhvCwF4GOqjessEB3G+a5okP+uXXr96wcucn2Pev6BfaoEMZ1gVpPPhdDmjQqoM

    password: mpw:Hzy5iliJbwDHhjLs1L0j6w==

    username: mpw:Xb+EgsyuYRXw7U7sBJjBpA==

// 数据源敏感信息加密

spring:

  redis:

    password: mpw:Hzy5iliJbwDHhjLs1L0j6w==

实现原理

我们翻开 spring boot 官方文档,翻到 4.2.6 章节 Spring Boot 不提供对加密属性值的任何内置支持,但是提供修改 Spring 环境中包含的值所必需的扩展点 EnvironmentPostProcessor 允许在应用程序之前操作环境属性值

mybatis-plus 的实现

public class SafetyEncryptProcessor implements EnvironmentPostProcessor {

 @Override

 public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {

  //命令行中获取密钥

  String mpwKey = null;

  // 返回全部形式的配置源(环境变量、命令行参数、配置文件 ...)

  for (PropertySource<?> ps : environment.getPropertySources()) {

   // 判断是否需要含有加密密码,没有就直接跳过

   if (ps instanceof SimpleCommandLinePropertySource) {

    SimpleCommandLinePropertySource source = (SimpleCommandLinePropertySource) ps;

    mpwKey = source.getProperty("mpw.key");

    break;

   }

  }

  //处理加密内容(获取到原有配置,然后解密放到新的map 里面(key是原有key))

  HashMap<String, Object> map = new HashMap<>();

  for (PropertySource<?> ps : environment.getPropertySources()) {

   if (ps instanceof OriginTrackedMapPropertySource) {

    OriginTrackedMapPropertySource source = (OriginTrackedMapPropertySource) ps;

    for (String name : source.getPropertyNames()) {

     Object value = source.getProperty(name);

     if (value instanceof String) {

      String str = (String) value;

      if (str.startsWith("mpw:")) {

       map.put(name, AES.decrypt(str.substring(4), mpwKey));

      }

     }

    }

   }

  }

  // 将解密的数据放入环境变量,并处于第一优先级上 (这里一定要注意,覆盖其他配置)

  if (!map.isEmpty()) {

   environment.getPropertySources().addFirst(new MapPropertySource("custom-encrypt", map));

  }

 }

}

如何加载生效

resources/META-INF/spring.factories 配置 SPI

org.springframework.boot.env.EnvironmentPostProcessor=\

  com.baomidou.mybatisplus.autoconfigure.SafetyEncryptProcessor

扩展

mybatis-plus 默认是读取启动参数,可以在此处可以根据自己需求修改为更安全的根密钥存储。

读取环境变量

System.getProperty("mpw.key")

远程加载密码服务

// 此处思路,参考 druid ConfigFilter

public Properties loadConfig(String filePath) {

      Properties properties = new Properties();

      InputStream inStream = null;

      try {

          boolean xml = false;

          if (filePath.startsWith("file://")) {

              filePath = filePath.substring("file://".length());

              inStream = getFileAsStream(filePath);

              xml = filePath.endsWith(".xml");

          } else if (filePath.startsWith("http://") || filePath.startsWith("https://")) {

              URL url = new URL(filePath);

              inStream = url.openStream();

              xml = url.getPath().endsWith(".xml");

          } else if (filePath.startsWith("classpath:")) {

              String resourcePath = filePath.substring("classpath:".length());

              inStream = Thread.currentThread().getContextClassLoader().getResourceAsStream(resourcePath);

              // 在classpath下应该也可以配置xml文件吧?

              xml = resourcePath.endsWith(".xml");

          } else {

              inStream = getFileAsStream(filePath);

              xml = filePath.endsWith(".xml");

          }

          if (inStream == null) {

              LOG.error("load config file error, file : " + filePath);

              return null;

          }

          if (xml) {

              properties.loadFromXML(inStream);

          } else {

              properties.load(inStream);

          }

          return properties;

      } catch (Exception ex) {

          LOG.error("load config file error, file : " + filePath, ex);

          return null;

      } finally {

          JdbcUtils.close(inStream);

      }

  }

总结

  • 配置文件加解密,是通过自定义扩展 EnvironmentPostProcessor 实现
  • 若项目中没有使用最新版本 mybatis-plus ,可以参考如上自己实现,不过我推荐 jasypt-spring-boot-starter[2] ,原理类似实现了一个 EnableEncryptablePropertySourcesPostProcessor ,但是支持的加密方式更多更成熟
  • 关于 jasypt 使用可以参考源码: https://gitee.com/log4j/pig

项目推荐: Spring Cloud 、Spring Security OAuth2的RBAC权限管理系统 欢迎关注

Spring Boot 实现配置文件加解密原理的更多相关文章

  1. spring boot 多数据源加载原理

    git代码:https://gitee.com/wwj912790488/multiple-data-sources DynamicDataSourceAspect切面 必须定义@Order(-10) ...

  2. Spring Boot源码分析-配置文件加载原理

    在Spring Boot源码分析-启动过程中我们进行了启动源码的分析,大致了解了整个Spring Boot的启动过程,具体细节这里不再赘述,感兴趣的同学可以自行阅读.今天让我们继续阅读源码,了解配置文 ...

  3. 峰哥说技术:06-手撸Spring Boot自定义启动器,解密Spring Boot自动化配置原理

    Spring Boot深度课程系列 峰哥说技术—2020庚子年重磅推出.战胜病毒.我们在行动 06  峰哥说技术:手撸Spring Boot自定义启动器,解密Spring Boot自动化配置原理 Sp ...

  4. Spring Boot面试杀手锏————自动配置原理

    转:https://blog.csdn.net/u014745069/article/details/83820511 引言不论在工作中,亦或是求职面试,Spring Boot已经成为我们必知必会的技 ...

  5. Spring Boot 核心配置文件 bootstrap & application

    Spring Boot 核心配置文件 bootstrap & application 1.SpringBoot bootstrap配置文件不生效问题 2.bootstrap/ applicat ...

  6. Spring Boot的属性加载顺序

        伴随着团队的不断壮大,往往不需要开发人员知道测试或者生产环境的全部配置细节,比如数据库密码,帐号信息等.而是希望由运维或者指定的人员去维护配置信息,那么如果要修改某项配置信息,就不得不去修改项 ...

  7. Spring Boot之配置文件值注入(@ConfigurationProperties)

    前言:Spring Boot配置文件值的注入有两种方式,分别是 @ConfigurationProperties @Value 这里我们使用第一种 首先我们创建一个application.yml文件, ...

  8. Spring cloud config配置文件加密解密

    Spring cloud config配置文件加密解密 学习了:http://blog.csdn.net/u010475041/article/details/78110349 学习了:<Spr ...

  9. Spring Boot 2.x教程-Thymeleaf 原理是什么

    layout: post title: Spring Boot 2.x教程-Thymeleaf 原理是什么 categories: SpringBoot description: Spring Boo ...

随机推荐

  1. Word带数学公式发布博客

    Word公式编辑器无法直接上传博客,一个一个的转换LaTeX还要加$,十分麻烦. 下面是我昨天摸索出来的办法.作为博客新人,这个问题困扰我一晚上,能解决我也是非常高兴的. 如果各位前辈有好方法的话,请 ...

  2. 使用hive增量更新

    目录 1.增量更新 2.对第一种情况 2.1.准备工作 2.2.更新数据 3.对第二种情况 3.1.准备工作 3.2.方法1 3.3.方法2 参考文末文章,加上自己的理解. 1.增量更新 有一个 ba ...

  3. C#测试--内部类测试

    C#测试--内部类测试 在被测试的代码库的AssemblyInfo.cs中添加"[assembly: InternalsVisibleTo("UnitTest项目名称") ...

  4. 翻译:《实用的Python编程》03_00_Overview

    目录 | 上一节 (2 处理数据) | 下一节 (4 类和对象) 3. 程序组织 到目前为止,我们已经学习了一些 Python 基础知识并编写了一些简短的脚本.但是,当开始编写更大的程序时,我们会想要 ...

  5. 一文了解Python的迭代器的实现

    本文对迭代器的解释参考自:https://www.programiz.com/python-programming/iterator 最后自己使用迭代器实现一个公平洗牌类. 博主认为,理论来自实践,假 ...

  6. POJ-1502(基本dijikstra算法)

    MPI Maelstrom POJ-1502 这题是求最短路,但是因为一开始看错题目,导致我去使用prime算法求最小生成树 题意是指一台机器发出信息后,还可以向其他的机器发送信息,所以不能使用pri ...

  7. JVM 中的StringTable

    是什么 字符串常量池是 JVM 中的一个重要结构,用于存储JVM运行时产生的字符串.在JDK7之前在方法区中,存储的是字符串常量.而字符串常量池在 JDK7 开始移入堆中,随之而来的是除了存储字符串常 ...

  8. 该死的端口占用!教你用 Shell 脚本一键干掉它!

    1. 前言 大家好,我是安果! 在 Web 开发中,经常会遇到「端口被占用」的场景 常规解决方案是: 使用 lsof -i 命令查询占用端口的进程 PID 利用 kill -9 PID 干掉目标进程 ...

  9. Codeforces Round #533 C. Ayoub and Lost Array

    题面: 传送门 题目描述: 题意很简单:1.数组中的所有整数都在区间[l, r],2.所有元素之和能被3整除.现在知道这个数组的大小,l和r,问:按照题目的要求组成的数组一共有多少种可能.   题目分 ...

  10. P2261 [CQOI2007]余数求和 【整除分块】

    一.题面 P2261 [CQOI2007]余数求和 二.分析 参考文章:click here 对于整除分块,最重要的是弄清楚怎样求的分得的每个块的范围. 假设$ n = 10 ,k = 5 $ $$  ...