一个依赖搞定Spring Boot 配置文件脱敏

经常会遇到这样一种情况：项目的个依配置文件中总有一些敏感信息，比如数据源的赖搞url、用户名、置文密码....这些信息一旦被暴露那么整个数据库都将会被泄漏，个依那么如何将这些配置隐藏呢？赖搞​

今天介绍一种方案，让你在无感知的置文情况下实现配置文件的加密、解密。个依利用一款开源插件：jasypt-spring-boot。赖搞项目地址如下：

https://github.com/ulisesbocchio/jasypt-spring-boot

使用方法很简单，置文整合Spring Boot 只需要添加一个starter。个依

1. 添加依赖

com.github.ulisesbocchio

jasypt-spring-boot-starter

3.0.3

</dependency> 2. 配置秘钥

在配置文件中添加一个加密的赖搞秘钥（任意），如下：

jasypt:

encryptor:

password: Y6M9fAJQdU7jNp5MW

当然将秘钥直接放在配置文件中也是置文不安全的源码库，我们可以在项目启动的个依时候配置秘钥，命令如下：

java -jar xxx.jar -Djasypt.encryptor.password=Y6M9fAJQdU7jNp5MW3. 生成加密后的赖搞数据

这一步骤是将配置明文进行加密，代码如下：

@SpringBootTest

@RunWith(SpringRunner.class)

public class SpringbootJasyptApplicationTests {

/

**

* 注入加密方法

*/

@Autowired

private StringEncryptor encryptor;

/

**

* 手动生成密文，置文此处演示了url，user，password

*/

@Test

public void encrypt() {

String url = encryptor.encrypt("jdbc\\:mysql\\://127.0.0.1\\:3306/test?useUnicode\\=true&characterEncoding\\=UTF-8&zeroDateTimeBehavior\\=convertToNull&useSSL\\=false&allowMultiQueries\\=true&serverTimezone=Asia/Shanghai");

String name = encryptor.encrypt("root");

String password = encryptor.encrypt("123456");

System.out.println("database url: " + url);

System.out.println("database name: " + name);

System.out.println("database password: " + password);

Assert.assertTrue(url.length() > 0);

Assert.assertTrue(name.length() > 0);

Assert.assertTrue(password.length() > 0);

}

}

上述代码对数据源的url、user、password进行了明文加密，输出的结果如下：

database url: szkFDG56WcAOzG2utv0m2aoAvNFH5g3DXz0o6joZjT26Y5WNA+1Z+pQFpyhFBokqOp2jsFtB+P9b3gB601rfas3dSfvS8Bgo3MyP1nojJgVp6gCVi+B/XUs0keXPn+pbX/19HrlUN1LeEweHS/LCRZslhWJCsIXTwZo1PlpXRv3Vyhf2OEzzKLm3mIAYj51CrEaN3w5cMiCESlwvKUhpAJVz/uXQJ1spLUAMuXCKKrXM/6dSRnWyTtdFRost5cChEU9uRjw5M+8HU3BLemtcK0vM8iYDjEi5zDbZtwxD3hA=

database name: L8I2RqYPptEtQNL4x8VhRVakSUdlsTGzEND/3TOnVTYPWe0ZnWsW0/5JdUsw9ulm

database password: EJYCSbBL8Pmf2HubIH7dHhpfDZcLyJCEGMR9jAV3apJtvFtx9TVdhUPsAxjQ2pnJ4. 将加密后的密文写入配置

jasypt​默认使用ENC()包裹，此时的亿华云数据源配置如下：

spring:

datasource:

# 数据源基本配置

username: ENC(L8I2RqYPptEtQNL4x8VhRVakSUdlsTGzEND/3TOnVTYPWe0ZnWsW0/5JdUsw9ulm)

password: ENC(EJYCSbBL8Pmf2HubIH7dHhpfDZcLyJCEGMR9jAV3apJtvFtx9TVdhUPsAxjQ2pnJ)

driver-class-name: com.mysql.jdbc.Driver

url: ENC(szkFDG56WcAOzG2utv0m2aoAvNFH5g3DXz0o6joZjT26Y5WNA+1Z+pQFpyhFBokqOp2jsFtB+P9b3gB601rfas3dSfvS8Bgo3MyP1nojJgVp6gCVi+B/XUs0keXPn+pbX/19HrlUN1LeEweHS/LCRZslhWJCsIXTwZo1PlpXRv3Vyhf2OEzzKLm3mIAYj51CrEaN3w5cMiCESlwvKUhpAJVz/uXQJ1spLUAMuXCKKrXM/6dSRnWyTtdFRost5cChEU9uRjw5M+8HU3BLemtcK0vM8iYDjEi5zDbZtwxD3hA=)

type: com.alibaba.druid.pool.DruidDataSource

上述配置是使用默认的prefix=ENC(、suffix=)，当然我们可以根据自己的要求更改，只需要在配置文件中更改即可，如下：

jasypt:

encryptor:

## 指定前缀、后缀

property:

prefix: PASS(

suffix: )

那么此时的配置就必须使用PASS()包裹才会被解密，如下：

spring:

datasource:

# 数据源基本配置

username: PASS(L8I2RqYPptEtQNL4x8VhRVakSUdlsTGzEND/3TOnVTYPWe0ZnWsW0/5JdUsw9ulm)

password: PASS(EJYCSbBL8Pmf2HubIH7dHhpfDZcLyJCEGMR9jAV3apJtvFtx9TVdhUPsAxjQ2pnJ)

driver-class-name: com.mysql.jdbc.Driver

url: PASS(szkFDG56WcAOzG2utv0m2aoAvNFH5g3DXz0o6joZjT26Y5WNA+1Z+pQFpyhFBokqOp2jsFtB+P9b3gB601rfas3dSfvS8Bgo3MyP1nojJgVp6gCVi+B/XUs0keXPn+pbX/19HrlUN1LeEweHS/LCRZslhWJCsIXTwZo1PlpXRv3Vyhf2OEzzKLm3mIAYj51CrEaN3w5cMiCESlwvKUhpAJVz/uXQJ1spLUAMuXCKKrXM/6dSRnWyTtdFRost5cChEU9uRjw5M+8HU3BLemtcK0vM8iYDjEi5zDbZtwxD3hA=)

type: com.alibaba.druid.pool.DruidDataSource5. 总结

jasypt还有许多高级用法，比如可以自己配置加密算法，具体的操作可以参考Github上的文档。