Spring Boot 实现配置文件加解密原理
Spring Boot 配置文件加解密原理就这么简单
背景
接上文《失踪人口回归,mybatis-plus 3.3.2 发布》[1] ,提供了一个非常实用的功能 「数据安全保护」 功能,不仅支持数据源的配置加密,对于 spring boot 全局的 yml /properties 文件均可实现敏感信息加密功能,在一定的程度上控制开发人员流动导致敏感信息泄露。
// 数据源敏感信息加密
spring: datasource: url: mpw:qRhvCwF4GOqjessEB3G+a5okP+uXXr96wcucn2Pev6BfaoEMZ1gVpPPhdDmjQqoM password: mpw:Hzy5iliJbwDHhjLs1L0j6w== username: mpw:Xb+EgsyuYRXw7U7sBJjBpA==复制代码
// 数据源敏感信息加密
spring: redis: password: mpw:Hzy5iliJbwDHhjLs1L0j6w==复制代码
实现原理
我们翻开 spring boot 官方文档,翻到 4.2.6 章节 Spring Boot 不提供对加密属性值的任何内置支持,但是提供修改 Spring 环境中包含的值所必需的扩展点 EnvironmentPostProcessor 允许在应用程序之前操作环境属性值
mybatis-plus 的实现
public class SafetyEncryptProcessor implements EnvironmentPostProcessor { @Override public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) { //命令行中获取密钥 String mpwKey = null; // 返回全部形式的配置源(环境变量、命令行参数、配置文件 ...) for (PropertySource<?> ps : environment.getPropertySources()) { // 判断是否需要含有加密密码,没有就直接跳过 if (ps instanceof SimpleCommandLinePropertySource) { SimpleCommandLinePropertySource source = (SimpleCommandLinePropertySource) ps; mpwKey = source.getProperty("mpw.key"); break; } } //处理加密内容(获取到原有配置,然后解密放到新的map 里面(key是原有key)) HashMap<String, Object> map = new HashMap<>(); for (PropertySource<?> ps : environment.getPropertySources()) { if (ps instanceof OriginTrackedMapPropertySource) { OriginTrackedMapPropertySource source = (OriginTrackedMapPropertySource) ps; for (String name : source.getPropertyNames()) { Object value = source.getProperty(name); if (value instanceof String) { String str = (String) value; if (str.startsWith("mpw:")) { map.put(name, AES.decrypt(str.substring(4), mpwKey)); } } } } } // 将解密的数据放入环境变量,并处于第一优先级上 (这里一定要注意,覆盖其他配置) if (!map.isEmpty()) { environment.getPropertySources().addFirst(new MapPropertySource("custom-encrypt", map)); } }}复制代码
如何加载买手机号平台生效
resources/META-INF/spring.factories 配置 SPI
org.springframework.boot.env.EnvironmentPostProcessor=\
com.baomidou.mybatisplus.autoconfigure.SafetyEncryptProcessor复制代码
扩展
mybatis-plus 默认是读取启动参数,可以在此处可以根据自己需求修改为更安全的根密钥存储。
读取环境变量
System.getProperty("mpw.key")复制代码
远程加载密码服务
// 此处思路,参考 druid ConfigFilterpublic Properties loadConfig(String filePath) {
Properties properties = new Properties();
InputStream inStream = null; boolean xml = false; if (filePath.startsWith("file://")) {
filePath = filePath.substring("file://".length());
inStream = getFileAsStream(filePath);
xml = filePath.endsWith(".xml");
} elseif (filePath.startsWith("http://") || filePath.startsWith("https://")) {
URL url = new URL(filePath);
inStream = url.openStream();
xml = url.getPath().endsWith(".xml");
} elseif (filePath.startsWith("classpath:")) { String resourcePath = filePath.substring("classpath:".length());
inStream = Thread.currentThread().getContextClassLoader().getResourceAsStream(resourcePath); // 在classpath下应该也可以配置xml文件吧?
xml = resourcePath.endsWith(".xml");
} else {
inStream = getFileAsStream(filePath);
xml = filePath.endsWith(".xml");
} if (inStream == null) {
LOG.error("load config file error, file : " + filePath); return null;
} if (xml) {
properties.loadFromXML(inStream);
} else {
properties.load(inStream);
} return properties;复制代码复制代码}复制代码
总结
配置文件加解密,是通过自定义扩展 EnvironmentPostProcessor 实现若项目中没有使用最新版本 mybatis-plus ,可以参考如上自己实现,不过我推荐 jasypt-spring-boot-starter[2] ,原理类似实现了一个 EnableEncryptablePropertySourcesPostProcessor ,但是支持的加密方式更多更成熟
推荐阅读
-
SpringBoot 源码解析 (七)----- Spring Boot的核心能力 - SpringBoot如何实现SpringMvc的?
-
基于Flyway实现简化Spring Boot项目部署
-
Spring boot @ModelAttribute标注的实现
-
spring boot启动时加载外部配置文件的方法
-
九、Spring Boot 优雅的实现CORS跨域
-
Spring源码剖析7:AOP实现原理详解
-
Spring Boot2.X整合消息中间件RabbitMQ原理简浅探析
-
Spring Boot实现STOMP协议的WebSocket的方法步骤
-
详解Spring Boot实战之Filter实现使用JWT进行接口认证
-
spring boot静态变量注入配置文件详解