Spring Boot 配置中的敏感信息如何保护？

向右看齐 2022-09-05 00:22 143阅读 0赞

在之前的系列教程中，我们已经介绍了非常多关于Spring Boot配置文件中的各种细节用法，比如：[参数间的引用][Link 1]、[随机数的应用][Link 1]、[命令行参数的使用][Link 1]、[多环境的配置管理][Link 2]等等。

这些配置相关的知识都是Spring Boot原生就提供的，而今天我们将介绍的功能并非Spring Boot原生就支持，但却非常有用：**配置内容的加密**。

## 为什么要加密？ ##

可能很多初学者，对于配置信息的加密并不敏感，因为开始主要接触本地的开发，对于很多安全问题并没有太多的考虑。而现实中，我们的配置文件中，其实包含着大量与安全相关的敏感信息，比如：数据库的账号密码、一些服务的密钥等。这些信息一旦泄露，对于企业的重要数据资产，那是相当危险的。 所以，对于这些配置文件中存在的敏感信息进行加密，是每个成熟开发团队都一定会去的事。

如果您是DD的老读者，也许马上会想到Spring Cloud Config就提供配置的加密功能，之前在我的Spring Cloud系列教程和《Spring Cloud微服务实战》一书中都有详细的介绍，感兴趣的话可以点击[《Spring Cloud构建微服务架构：分布式配置中心（加密解密）》][Spring Cloud]一探究竟。

既然以前写过类似内容，那为什么还要写呢？因为并不是所有的开发场景都会搭建Spring Cloud的那套基础设施，同时也不一定会使用Spring Cloud Config作为配置中心。所以，本文主要说说，当我们只使用Spring Boot的时候，如何实现对配置中敏感信息的加密。

## 动手试试 ##

下面我们将使用`https://github.com/ulisesbocchio/jasypt-spring-boot`这个开源项目提供的实现和插件，来帮助我们轻松的完成配置信息的加密。

赶紧跟着我下面的步骤动手试试吧！

**第一步**：创建一个基础的Spring Boot项目（如果您还不会，可以参考这篇文章：[快速入门][Link 3]

**第二步**：设计一个参数和单元测试，用来输出这个配置信息

准备加密的配置：

datasource.password=didispace.com

用来输出配置信息的单元测试：

@Slf4j
    @SpringBootTest
    public class PropertiesTest {
    
        @Value("${datasource.password:}")
        private String password;
    
        @Test
        public void test() {
            log.info("datasource.password : {}", password);
        }
    
    }

执行这个单元测试，会输出：

2021-08-13 22:28:45.506  INFO 70405 --- [           main] com.didispace.chapter15.PropertiesTest   : datasource.password : didispace.com

这里还没开始加密，下面我们开始引入加密的操作！

**第三步**：在`pom.xml`中引入jasypt提供的Spring Boot Starter

<dependency>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-spring-boot-starter</artifactId>
        <version>3.0.3</version>
    </dependency>

在插件配置中加入：

<plugin>
        <groupId>com.github.ulisesbocchio</groupId>
        <artifactId>jasypt-maven-plugin</artifactId>
        <version>3.0.3</version>
    </plugin>

**第四步**：在配置文件中加入加密需要使用的密码

jasypt.encryptor.password=didispace

同时，修改要加密的内容，用`DEC()`将待加密内容包裹起来，比如：

datasource.password=DEC(didispace.com)

**第五步**：使用`jasypt-maven-plugin`插件来给`DEC()`包裹的内容实现批量加密。

在终端中执行下面的命令：

mvn jasypt:encrypt -Djasypt.encryptor.password=didispace

> **注意**：这里`-Djasypt.encryptor.password`参数必须与配置文件中的一致，不然后面会解密失败。

执行之后，重新查看配置文件，可以看到，自动变成了

datasource.password=ENC(/AL9nJENCYCh9Pfzdf2xLPsqOZ6HwNgQ3AnMybFAMeOM5GphZlOK6PxzozwtCm+Q)
    
    jasypt.encryptor.password=didispace

其中，`ENC()`跟`DEC()`一样都是jasypt提供的标识，分别用来标识括号内的是加密后的内容和待加密的内容。

如果当前配置文件已经都是`ENC()`内容了，那么我们可以通过下面的命令来解密配置文件，查看原始信息：

mvn jasypt:decrypt -Djasypt.encryptor.password=didispace

该操作不会修改配置文件，只会在控制台输出解密结果，比如：

datasource.password=DEC(didispace.com)
    
    jasypt.encryptor.password=didispace

**第六步**：此时，我们的配置文件中的敏感信息已经被`ENC()`修饰了，再执行一下单元测试，不出意外的话，依然可以得到之前一样的结果：

2021-08-13 22:50:00.463  INFO 76150 --- [           main] com.didispace.chapter15.PropertiesTest   : datasource.password : didispace.com

而此时，配置文件中已经是加密内容了，敏感信息得到了保护。

本系列教程[《Spring Boot 2.x基础教程》点击直达！][Spring Boot 2.x] ，欢迎收藏与转发！如果学习过程中如遇困难？可以加入我们[Spring技术交流群][Spring] ，参与交流与讨论，更好的学习与进步！

## 进一步思考 ##

根据上面的步骤，爱思考的你，也许会发现这样的问题：虽然敏感信息是加密了，但是我们通过配置文件也能看到`jasypt.encryptor.password`信息，我们是不是通过利用这个再把原始信息解密出来，这样的话岂不是还是不安全？

上面的实现方式的确是会有这样的问题！所以，在实际应用的过程中，`jasypt.encryptor.password`的配置，可以通过运维小伙伴在环境变量或启动参数中注入，而不是由开发人员在配置文件中指定。

同时，为了应对更高的安全要求，jasypt也提供自定义的加密解密方式，这里就不做具体展开了，有兴趣的小伙伴可以前往[jasypt的仓库][jasypt]查看使用细节。

## 代码示例 ##

本文的完整工程可以查看下面仓库中`2.x`目录下的`chapter1-5`工程：

*  Github：[https://github.com/dyc87112/SpringBoot-Learning/][https_github.com_dyc87112_SpringBoot-Learning]
 *  Gitee：[https://gitee.com/didispace/SpringBoot-Learning/][https_gitee.com_didispace_SpringBoot-Learning]

**如果您觉得本文不错，欢迎`Star`支持，您的关注是我坚持的动力！**

> 欢迎关注我的公众号：程序猿DD，分享其他地方看不到的知识与思考

[Link 1]: http://blog.didispace.com/spring-boot-learning-21-1-3/
[Link 2]: http://blog.didispace.com/spring-boot-learning-24-1-4/
[Spring Cloud]: https://blog.didispace.com/spring-cloud-starter-dalston-3-2/
[Link 3]: https://blog.didispace.com/spring-boot-learning-21-1-1/
[Spring Boot 2.x]: http://blog.didispace.com/spring-boot-learning-2x/
[Spring]: https://blog.didispace.com/join-group-spring/index.html
[jasypt]: https://github.com/ulisesbocchio/jasypt-spring-boot
[https_github.com_dyc87112_SpringBoot-Learning]: https://github.com/dyc87112/SpringBoot-Learning/tree/master/2.x
[https_gitee.com_didispace_SpringBoot-Learning]: https://gitee.com/didispace/SpringBoot-Learning/tree/master/2.x