spring-boot项目使用ulisesbocchio对配置文件敏感信息加密

参考文献github官网地址：/ulisesbocchio/jasypt-spring-boot

1、添加依赖：

maven：

<dependency><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-spring-boot-starter</artifactId><version>3.0.2</version></dependency>

低版本依赖

<dependency><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-spring-boot-starter</artifactId><version>2.1.2</version></dependency>

gradle依赖：

implementation 'com.github.ulisesbocchio:jasypt-spring-boot-starter:3.0.2'

2、自定义加密盐值，生成加密结果

public static void main(String[] args) {BasicTextEncryptor encryptor = new BasicTextEncryptor();// application.properties, jasypt.encryptor.password 加密盐值encryptor.setPassword("qwera@12345");// 加密数据库连接地址System.out.println(encryptor.encrypt("jdbc:mysql://127.0.0.1:3306/mysql?useUnicode=true&characterEncoding=utf8&autoReconnect=true&zeroDateTimeBehavior=convertToNull&transformedBitIsBoolean=true&serverTimezone=UTC"));// 加密数据库连接用户名System.out.println(encryptor.encrypt("user"));// 加密数据库连接密码System.out.println(encryptor.encrypt("123456"));// 加密ip地址System.out.println(encryptor.encrypt("127.0.0.1"));}

运行之后得到以下加密结果：

SXyQdsRMPeCNvzqG+9CHCfBJ8I5WG0FK3QK/oh3Ty+9cD2x46TFx6qeil9i8+HJM+v6aJPF5+cPfXNcK9RZz8pj5vETgOLv6WN41zTnXmsx4MrtGbjmVpDOnVKtGh3aR8BRM7bH1/CN2letqQYpkbAFUErtEkrrVNhRwN9whalZmv4MZP2rBmyeVYaDqEBuEDcV4u2Kbl0bdAN4Tn5LRzu+7sDOP37nDTTwdOTOdU3gYGe3OodLSuw==4FEc3689+yRuKK0uKSzuwQ==0T6wU363Jnd0wC2q7LittA==S6Ndyo6uDMMwwzHiiLjPW+sArf+r9qsA

3、将结果敏感信息替换成加密后的结果

加密结果需要将ENC(*)包含加密值，Spring加载时会自动解析

jasypt:encryptor:# 加密盐值 必须和生成的盐值一样password: qwera@12345# 加密算法设置 3.0.0 以后需要加上下面两个配置# algorithm: PBEWithMD5AndDES# iv-generator-classname: org.jasypt.iv.NoIvGenerator

spring:profiles:active: localapplication:name: demodatasource:url: ENC(SXyQdsRMPeCNvzqG+9CHCfBJ8I5WG0FK3QK/oh3Ty+9cD2x46TFx6qeil9i8+HJM+v6aJPF5+cPfXNcK9RZz8pj5vETgOLv6WN41zTnXmsx4MrtGbjmVpDOnVKtGh3aR8BRM7bH1/CN2letqQYpkbAFUErtEkrrVNhRwN9whalZmv4MZP2rBmyeVYaDqEBuEDcV4u2Kbl0bdAN4Tn5LRzu+7sDOP37nDTTwdOTOdU3gYGe3OodLSuw==)username: ENC(4FEc3689+yRuKK0uKSzuwQ==)password: ENC(0T6wU363Jnd0wC2q7LittA==)driver-class-name: com.mysql.cj.jdbc.Driver

4、加密结果与加密盐值隔离

项目加密配置到这里也就基本完成了，但是为了保证加密数据和加密盐值数据隔离还需采取进一步措施，以确保数据的安全性

注释：加密盐值不应该直接放在代码中，容易造成开发人员泄露数据安全性

Windows启动java虚拟机配置VM options参数，我这里默认是配置3.0.0以上的jar包，如版本低可将后面参数移除掉

配置了虚拟机启动参数，其实和配置yml是一样的，也同样会加载到spring配置文件中，配置成功（此时可将配置文件的加密盐值配置删除掉），

启动Spring同样会成功连接到数据库。

服务器中配置，同理将java启动虚拟机参数新增配置，这样我们密码盐值就放在了服务器中，就不会造成加密盐值泄漏了

JAVA_OPTS="-Djasypt.encryptor.password=qwera@12345 -Djasypt.encryptor.algorithm=PBEWithMD5AndDES -Djasypt.encryptor.iv-generator-classname=org.jasypt.iv.NoIvGenerator"

到这里，配置加密敏感信息应该才算完成。