百度360必应搜狗淘宝本站头条
php redisredis 命令oracle位图索引redis 锁启动 redis
当前位置:网站首页 > 技术教程 > 正文

SpringBoot敏感配置项加密与解密实战

mhr18 2025-08-01 19:10 3 浏览 0 评论

一、为什么要加密配置?

先说说SpringBoot的配置加载机制。我们知道,SpringBoot支持多种配置加载方式,优先级从高到低大概是:

  1. 命令行参数
  2. 环境变量
  3. application-{profile}.yml
  4. application.yml
  5. @ConfigurationProperties注解

不管用哪种方式,敏感信息(比如数据库密码、Redis密码、第三方API密钥)如果明文存储,都会有泄露风险:

开发环境:本地配置文件可能被传到Git 测试环境:测试服务器可能被非授权访问 生产环境:配置文件权限管理不当,被运维人员误看

更重要的是,《网络安全法》明确要求对敏感信息进行加密存储。去年某银行就因为数据库密码明文存储被罚款200万。

所以,给配置文件加密不是选择题,是必答题。

二、方案一:Jasypt集成(推荐)

Jasypt是SpringBoot生态中相对成熟的配置加密工具,开箱即用,配置简单。

1. 添加依赖

添加Jasypt依赖

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.5</version>
</dependency>

2. 配置加密密钥

在application.yml中添加Jasypt配置:

jasypt:
  encryptor:
    password: ${ENCRYPT_KEY}  # 密钥从环境变量获取
    algorithm: PBEWithHMACSHA512ANDAES_256  # 推荐使用强加密算法
    iv-generator-classname: org.jasypt.iv.RandomIvGenerator

划重点:密钥千万不要写在配置文件里!这里用环境变量${ENCRYPT_KEY},Docker部署时通过-e ENCRYPT_KEY=xxx传入。

3. 加密敏感配置

用Jasypt提供的命令行工具加密明文密码:

# 下载jasypt-cli包
wget https://github.com/jasypt/jasypt/releases/download/jasypt-1.9.3/jasypt-1.9.3-dist.zip
unzip jasypt-1.9.3-dist.zip

# 执行加密命令(密钥用你的实际密钥替换)
java -cp jasypt-1.9.3/lib/jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="你的明文密码" password=你的密钥(32字节) algorithm=PBEWithHMACSHA512ANDAES_256 ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator

执行后会输出加密后的密文,类似这样:

----ENVIRONMENT-----------------
Runtime: OpenJDK 64-Bit Server VM 11.0.18+10

----ARGUMENTS-------------------
input: 你的明文密码
password: 你的密钥
algorithm: PBEWithHMACSHA512ANDAES_256

----OUTPUT----------------------
加密后的密文

4. 在配置文件中使用密文

把加密后的密文用ENC()包裹,放到配置文件里:

spring:
  datasource:
    url: jdbc:mysql://prod-db:3306/order_db
    username: root
    password: ENC(加密后的密文)  # 用ENC()包裹

5. 启动应用

启动时传入密钥:

java -jar app.jar -Djasypt.encryptor.password=你的密钥
# 或者用环境变量
ENCRYPT_KEY=你的密钥 
java -jar app.jar

三、方案二:自定义加密解密(适合有特殊需求)

如果Jasypt满足不了你的需求(比如要对接企业内部的密钥管理系统),可以自己实现加密解密逻辑。

比如,某些时候项目需要用国密算法SM4,Jasypt不支持,就需要自定义个解密处理器。

1. 实现思路

SpringBoot启动时会加载配置文件,我们可以通过自定义PropertySource,在配置被读取前进行解密。

2. 代码实现

第一步:创建加密工具类

package com.example.config.encrypt;

import org.bouncycastle.jce.provider.BouncyCastleProvider;
import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;
import java.security.Security;
import java.util.Base64;

/**
 * 国密SM4加密工具类
 * 依赖bcprov-jdk15on
 */
public class SM4Utils {
    static {
        Security.addProvider(new BouncyCastleProvider());
    }
    
    private static final String ALGORITHM_NAME = "SM4";
    private static final String ALGORITHM_NAME_ECB_PADDING = "SM4/ECB/PKCS7Padding";
    private SecretKeySpec secretKeySpec;
    private Cipher cipher;

    public SM4Utils(String key) {
        try {
            secretKeySpec = new SecretKeySpec(key.getBytes(), ALGORITHM_NAME);
            cipher = Cipher.getInstance(ALGORITHM_NAME_ECB_PADDING, "BC");
        } catch (Exception e) {
            throw new RuntimeException("初始化SM4加密工具失败", e);
        }
    }

    // 加密
    public String encrypt(String plainText) {
        try {
            cipher.init(Cipher.ENCRYPT_MODE, secretKeySpec);
            byte[] encrypted = cipher.doFinal(plainText.getBytes());
            return Base64.getEncoder().encodeToString(encrypted);
        } catch (Exception e) {
            throw new RuntimeException("SM4加密失败", e);
        }
    }

    // 解密
    public String decrypt(String cipherText) {
        try {
            cipher.init(Cipher.DECRYPT_MODE, secretKeySpec);
            byte[] decrypted = cipher.doFinal(Base64.getDecoder().decode(cipherText));
            return new String(decrypted);
        } catch (Exception e) {
            throw new RuntimeException("SM4解密失败", e);
        }
    }
}

第二步:创建自定义PropertySource

package com.example.config.encrypt;

import org.springframework.core.env.PropertySource;

/**
 * 自定义加密配置源
 * 解密以"sm4:"开头的配置项
 */
public class Sm4EncryptedPropertySource extends PropertySource<Object> {
    private final PropertySource<?> source;
    private final SM4Utils sm4Utils;

    public Sm4EncryptedPropertySource(String name, PropertySource<?> source, String key) {
        super(name);
        this.source = source;
        this.sm4Utils = new SM4Utils(key);
    }

    @Override
    public Object getProperty(String name) {
        Object value = source.getProperty(name);
        if (value instanceof String) {
            String strValue = (String) value;
            // 解密以"sm4:"开头的配置
            if (strValue.startsWith("sm4:")) {
                String cipherText = strValue.substring(4);
                return sm4Utils.decrypt(cipherText);
            }
        }
        return value;
    }
}

第三步:注册PropertySource

package com.example.config.encrypt;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.env.EnvironmentPostProcessor;
import org.springframework.core.env.ConfigurableEnvironment;
import org.springframework.core.env.MutablePropertySources;
import org.springframework.core.env.PropertySource;

/**
 * 环境后置处理器,注册自定义PropertySource
 */
public class EncryptedEnvironmentPostProcessor implements EnvironmentPostProcessor {
    @Override
    public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {
        MutablePropertySources propertySources = environment.getPropertySources();
        
        // 从环境变量获取SM4密钥
        String sm4Key = environment.getProperty("SM4_KEY");
        if (sm4Key == null) {
            throw new RuntimeException("环境变量SM4_KEY未配置");
        }
        
        // 遍历所有PropertySource,包装需要解密的配置
        for (PropertySource<?> source : propertySources) {
            if (source.getName().contains("application.yaml")) {
                propertySources.replace(source.getName(), 
                    new Sm4EncryptedPropertySource(source.getName(), source, sm4Key));
            }
        }
    }
}

第四步:配置spring.factories


src/main/resources/META-INF/spring.factories中注册后置处理器:

org.springframework.boot.env.EnvironmentPostProcessor=\
com.example.config.encrypt.EncryptedEnvironmentPostProcessor

3. 使用方式

在配置文件中用sm4:前缀标识需要加密的配置:

spring:
  datasource:
    password: sm4:加密后的密文  # 用SM4加密

启动时传入密钥:

SM4_KEY=你的密钥 
java -jar app.jar

适用场景

  • 需要更灵活的自定义敏感数据加解密逻辑
  • 需要对接企业内部密钥管理系统(如从数据库/接口获取密钥)
  • 需要更细粒度的解密控制(如按配置项类型解密)

四、从开发到生产的完整流程

1. 开发环境

  • 用Jasypt加密,密钥存在本地环境变量
  • IDEA配置Run Configuration,自动注入密钥
  • Gitignore过滤所有包含密钥的配置文件

2. 测试环境

  • Jenkins Pipeline从凭据管理获取密钥
  • 构建时自动加密配置文件
  • 部署时通过环境变量注入密钥

3. 生产环境

  • 密钥可以存储在阿里云KMS
  • 应用启动时通过IAM角色获取密钥
  • 配置文件通过Ansible或其他方式统一分发

4. 验证方法

部署后一定要验证配置是否解密成功,可以写个简单的接口:

@RestController
public class ConfigTestController {
    @Value("${spring.datasource.password}")
    private String dbPassword;

    @GetMapping("/test/config")
    public String testConfig() {
        // 打印脱敏后的密码(只显示前3位和后3位)
        if (dbPassword.length() > 6) {
            return "密码解密成功:" + dbPassword.substring(0, 3) + "******" + dbPassword.substring(dbPassword.length() - 3);
        }
        return "密码解密成功";
    }
}

五、总结

密钥管理:密钥必须与配置文件分离,优先用环境变量或专用密钥管理服务(如阿里云KMS) 算法选择:优先使用强加密算法(如AES-256、SM4),避免MD5、DES等弱算法 多环境隔离:开发/测试/生产环境使用不同密钥,定期轮换 权限控制:配置文件权限设为600,仅应用进程可读写 审计日志:记录配置解密操作,方便追溯

最后提醒一句:配置加密不是银弹,还需要配合代码审计、服务器安全加固等措施,才能真正保障系统安全。

相关推荐

保持SSH隧道活跃:一个实用的Bash监控脚本

引言如果您正在使用AWSDocumentDB或任何位于堡垒主机后面的云托管服务等远程资源,您可能正在使用SSH隧道来安全地访问它们。虽然设置SSH隧道很简单,但保持其活跃状态并监控其状态可能会有些棘...

京东大佬问我,为什么说连接池是微服务的关键,你是如何理解的?

京东大佬问我,为什么说连接池是微服务的关键,你是如何理解的?我应该如何理解。首先,我需要回忆一下连接池和微服务的基本概念,然后思考它们在微服务架构中的作用和重要性。连接池,数据库连接池,用来管理数据库...

OOM 血案:5 小时绝地求生,MAT+Arthas 终极排查指南

一、血案现场:线上服务突然暴毙2025年4月12日凌晨3点15分,服务突发大规模OOM,三个Pod在10分钟内连续崩溃,Prometheus告警显示JVM堆内存使用率...

记Tomcat优化方案

Tomcat服务吞吐量评估方案问题:评估方案在一台8核16G的linux服务器上,使用tomcat容器部署服务。在正常情况下如何评估这个tomcat服务可处理的连接数,即服务的吞吐量,请在正常情况下考...

Java高级面试,常见数据结构的实现原理详细说明及面试总结

一、List接口实现类1.ArrayList底层结构:动态数组(Object[]数组)。核心原理:o动态扩容:初始容量为10(JDK1.8),当元素超过容量时,新容量为原容量的1.5倍(old...

SpringBoot敏感配置项加密与解密实战

一、为什么要加密配置?先说说SpringBoot的配置加载机制。我们知道,SpringBoot支持多种配置加载方式,优先级从高到低大概是:命令行参数环境变量application-{profile}....

【面试题】nacos 配置管理类型-主配置、共享配置、扩展配置

nacos配置管理类型-主配置、共享配置、扩展配置Nacos的配置管理支持多种类型,其中共享配置及其扩展机制(如shared-configs和extension-configs)是微服...

Spring Boot 的 RedisAutoConfiguration 配置:自动装配到自定义扩展

在SpringBoot开发中,Redis作为高性能缓存和分布式数据存储方案被广泛使用。而RedisAutoConfiguration作为SpringBoot自动装配体系的重要组成部分,能...

Docker图像处理:扩展您的优化工作流程

随着应用程序的增长和图像处理需求的增加,传统的优化方法遇到了扩展瓶颈。内存限制、环境不一致和处理瓶颈将图像优化从一个已解决的问题变成了生产环境的噩梦。Docker改变了游戏规则。通过容器化图像处理工作...

掌握 Spring 框架这 10 个扩展点,让你的能力更上一层楼

当我们提到Spring时,或许首先映入脑海的是IOC(控制反转)和AOP(面向切面编程)。它们可以被视为Spring的基石。正是凭借其出色的设计,Spring才能在众多优秀框架中脱颖而出...

简简单单在线文件浏览的功能搞起来很头疼

您的系统支持在线预览文件吗?一个小小的问题,背后是无数程序员的爆肝研究,有人说了,我平时打开个文件不是很容易吗?其实不然。文件格式代表着软件行业的底层、高端产出,也代表着经久不衰的使用场景,也是我国底...

没硬盘、网盘也能看片自由!NAS一键部署MoonTV,随时随地爽看。

本内容来源于@什么值得买APP,观点仅代表作者本人|作者:羊刀仙有没有一个应用服务,能满足既没有足够预算购置硬盘,也不想依托网盘的朋友的家庭观影需求?之前我介绍过LibreTV,本篇再来看看另一个更...

阿里云ECS代理商:如何使用ECS部署Node.js应用?

Node.js作为一种高性能、事件驱动的JavaScript运行环境,广泛用于构建实时通信、微服务接口、后台管理系统等现代Web应用。而阿里云ECS服务器以高可用性、灵活配置、安全稳定等优势,为部署N...

阿里云数据库代理商:如何提高数据库的查询效率?

在现代企业应用中,数据库查询效率对整体系统性能的影响巨大。特别是随着数据量的不断增加,如何提升数据库查询的响应速度,成为了数据库优化的关键任务。阿里云提供了一系列工具和策略,帮助用户提升数据库的查询效...

阿里云代理商:阿里云G6ne实例如何承载1.4亿QPS?

一、阿里云G6ne实例概述1.1G6ne实例的背景与定位阿里云G6ne实例是基于阿里云自主研发的“飞天”架构设计的高性能云服务器实例,专为大规模、需要高IOPS和低延迟的业务场景设计。它采用了更强大的...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表
赣ICP备2024040476号-7