歡迎光臨
每天分享高質量文章

Get史上最優雅的加密方式!沒有之一!

點擊上方“Java技術驛站”,選擇“置頂公眾號”。

有內涵、有價值的文章第一時間送達!

精品專欄

 

原文出處:https://mp.weixin.qq.com/s/gDhsaKg2jXf_mUOW6ixTLg

你的配置檔案是不是還在使用下麵這種落後的配置暴露一些密碼:

  1. jdbc.url=jdbc:mysql://127.0.0.1:3305/afei

  2. jdbc.username=afei

  3. jdbc.password=123456

如果是,那麼繼續往下看。筆者今天介紹史上最優雅加密接入方式:jasypt

使用方式

用法一

先看用法有多簡單,以 springboot 為例:

  1. Application.java 上增加註解 @EnableEncryptableProperties;

  2. 增加配置檔案 jasypt.encryptor.password = [email protected] ,這是加密的秘鑰;

  3. 所有明文密碼替換為 ENC (加密字串),例如ENC(XW2daxuaTftQ+F2iYPQu0g==) ;

  4. 引入一個MAVEN依賴;

maven坐標如下:

  1.     com.github.ulisesbocchio

  •     jasypt-spring-boot

  •     2.0.0

  • 簡答的 4 步就搞定啦,是不是超簡單?完全不需要修改任何業務代碼。其中第三步的加密字串的生成方式為:

    1. java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="123456" password=[email protected] algorithm=PBEWithMD5AndDES

    其中:

    • input的值就是原密碼。

    • password的值就是引數jasypt.encryptor.password指定的值,即秘鑰。


    用法二

    其實還有另一種更簡單的姿勢:

    1. 增加配置檔案 jasypt.encryptor.password = [email protected],這是加密的秘鑰;

    2. 所有明文密碼替換為 ENC (加密字串),例如 ENC(XW2daxuaTftQ+F2iYPQu0g==);

    3. 引入一個MAVEN依賴;

    maven 坐標如下:

    1.     com.github.ulisesbocchio

  •     jasypt-spring-boot-starter

  •     2.0.0

  • 相比第一種用法,maven 坐標有所變化。但是不需要顯示增加註解 @EnableEncryptableProperties;

    github地址

    github:https://github.com/ulisesbocchio/jasypt-spring-boot
    它 github 首頁有詳細的用法說明,以及一些自定義特性,例如使用自定義的前綴和後綴取代 ENC():

    1. jasypt.encryptor.property.prefix=[email protected][

    2. jasypt.encryptor.property.suffix=]

    原理解密

    既然是 springboot 方式集成,那麼首先看 jasypt-spring-boot 的 spring.factories 的申明:

    1. org.springframework.context.ApplicationListener=\

    2. com.ulisesbocchio.jasyptspringboot.configuration.EnableEncryptablePropertiesBeanFactoryPostProcessor

    這個類的部分核心原始碼如下:

    1. public class EnableEncryptablePropertiesBeanFactoryPostProcessor implements BeanFactoryPostProcessor, ApplicationListener<ApplicationEvent>, Ordered {

    2.     @Override

    3.     public void postProcessBeanFactory(ConfigurableListableBeanFactory beanFactory) throws BeansException {

    4.         // 得到加密字串的處理類(已經加密的密碼通過它來解密)

    5.         EncryptablePropertyResolver propertyResolver = beanFactory.getBean(RESOLVER_BEAN_NAME, EncryptablePropertyResolver.class);

    6.         // springboot下的Environment里包含了所有我們定義的屬性, 也就包含了application.properties中所有的屬性

    7.         MutablePropertySources propSources = environment.getPropertySources();

    8.         // 核心,PropertySource的getProperty(String)方法委托給EncryptablePropertySourceWrapper

    9.         convertPropertySources(interceptionMode, propertyResolver, propSources);

    10.     }

    11.     @Override

    12.     public int getOrder() {

    13.         // 讓這個jasypt定義的BeanFactoryPostProcessor的初始化順序最低,即最後初始化

    14.         return Ordered.LOWEST_PRECEDENCE;

    15.     }

    16. }

    PropertySource 的 getProperty(String) 方法委托給EncryptablePropertySourceWrapper,那麼當獲取屬性時,實際上就是呼叫 EncryptablePropertySourceWrapper 的 getProperty() 方法,在這個方法里我們就能對 value 進行解密了。

    EncryptablePropertySourceWrapper 實現了接口EncryptablePropertyResolver,該定義如下:

    1. // An interface to resolve property values that may be encrypted.

    2. public interface EncryptablePropertyResolver {

    3.     String resolvePropertyValue(String value);

    4. }

    接口描述:
    Returns the unencrypted version of the value provided free on any prefixes/suffixes or any other metadata surrounding the encrypted value. Or the actual same String if no encryption was detected.

    • 如果通過 prefixes/suffixes 包裹的屬性,那麼傳回解密後的值;

    • 如果沒有被包裹,那麼傳回原生的值;

    實現類的實現如下:

    1. @Override

    2. public String resolvePropertyValue(String value) {

    3.     String actualValue = value;

    4.     // 如果value是加密的value,則進行解密。

    5.     if (detector.isEncrypted(value)) {

    6.         try {

    7.             // 解密演算法核心實現

    8.             actualValue = encryptor.decrypt(detector.unwrapEncryptedValue(value.trim()));

    9.         } catch (EncryptionOperationNotPossibleException e) {

    10.             // 如果解密失敗,那麼丟擲異常。

    11.             throw new DecryptionException("Decryption of Properties failed,  make sure encryption/decryption passwords match", e);

    12.         }

    13.     }

    14.     // 沒有加密的value,傳回原生value即可

    15.     return actualValue;

    16. }

    判斷是否是加密的邏輯很簡單: (trimmedValue.startsWith(prefix)&&trimmedValue.endsWith(suffix)),即只要 value 是以 prefixe/suffixe 包括,就認為是加密的 value。

    總結

    通過對原始碼的分析可知 jasypt 的原理很簡單,就是講原本 spring 中PropertySource 的 getProperty(String) 方法委托給我們自定義的實現。然後再自定義實現中,判斷 value 是否是已經加密的 value ,如果是,則進行解密。如果不是,則傳回原 value。

            

    推薦作者微信公眾號,歡迎關註!

    END

    赞(0)

    分享創造快樂

    © 2021 知識星球   网站地图