明文密码一般会配置在application.properties或者bootstrap.yml文件中,为了安全起见,有时候我们需要对配置文件中的密码进行加密,在网上一般都会搜索到一个类库:
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.2</version>
</dependency>
jasypt的方式可以解决密码密文的问题,但是不支持自定义加密算法,比如我们的组件很多,有ruby,有go,但是他们都依赖同一数据源,以实现类库的视角来规定别的语言去实现,此种方式多少有些不妥。但是大家可以协商同一种加密算法来解密数据库中的密文,这种情况使用jasypt不能解决我们的问题
解决方式1 重写数据源
我们知道springboot自带的数据源是HikariCP ,如果我们重写数据源则会覆盖它本身的数据源,于是我们就得出来第一种方案:
@Configuration
public class DruidDataSourceConfig {
@Autowired
private ApplicationConfig applicationConfig;
private static String mysqlStr ="mysql";
@Bean
public DataSource DruidDataSouce()
{
DruidDataSource druidDataSource =new DruidDataSource();
druidDataSource.setTestOnBorrow(true);
if(applicationConfig.getDbUrl().contains(mysqlStr))
{
druidDataSource.setValidationQuery("select 1");
}else
{
druidDataSource.setValidationQuery("select 1 FROM DUAL");
}
druidDataSource.setTestOnReturn(true);
druidDataSource.setTestWhileIdle(true);
druidDataSource.setUrl(applicationConfig.getDbUrl());
druidDataSource.setUsername(applicationConfig.getUsername());
//数据库解密
druidDataSource.setPassword(PassUtil.decrypt(applicationConfig.getPassword()));
druidDataSource.setMaxActive(applicationConfig.getMaxActive());
druidDataSource.setInitialSize(applicationConfig.getInitialSize());
druidDataSource.setMaxIdle(applicationConfig.getMaxIdle());
druidDataSource.setMinIdle(applicationConfig.getMinIdle());
druidDataSource.setDefaultAutoCommit(applicationConfig.getAutoCommit());
return druidDataSource;
}
}
笔者只是拿Druid数据源举一个例子 在为数据源设置密码时,我们可以放心大胆的去使用我们自定义的加解密算法
druidDataSource.setPassword(PassUtil.decrypt(applicationConfig.getPassword()));
但是还是有些不爽,为什么spring都有了自己要加载的数据源,而我们还需要去重写
于是有了一种想法,要在spring自动加载数据源之前,将加载的配置文件密码由密文修改为明文
解决方式2:在bean初始化之前修改数据库密码
@Component
public class HikariPostProcessDePass implements BeanPostProcessor {
public static String DBBEANSTR ="spring.datasource-org.springframework.boot.autoconfigure.jdbc.DataSourceProperties";
@Override
public Object postProcessBeforeInitialization(Object bean, String beanName) throws BeansException {
if(DBBEANSTR.equals(beanName))
{
DataSourceProperties dataSourceProperties=(DataSourceProperties)bean;
dataSourceProperties.setPassword(PassUtil.decrypt(dataSourceProperties.getPassword()));
return dataSourceProperties;
}
return bean;
}
}
这里使用了spring为开发者开放的BeanPostProcessor 重写了
postProcessBeforeInitialization,笔者试过,重写postProcessAfterInitialization可以实现同样的效果,但分析语义逻辑,还是在bean初始化之前做这件事比较合理
Tips
"spring.datasource-org.springframework.boot.autoconfigure.jdbc.DataSourceProperties"
这个东西从哪里来的
答:是我继承了BeanFactoryPostProcess 根据
@Component
public class HikariPostProcessDePass implements BeanFactoryPostProcessor {
@Override
public void postProcessBeanFactory(ConfigurableListableBeanFactory configurableListableBeanFactory) throws BeansException {
String[] beanDefinitionNames = configurableListableBeanFactory.getBeanDefinitionNames();
System.out.println(Arrays.toString(beanDefinitionNames));
}
}
逐个筛查选出来的。只要是放到spring中托管的bean 在这里都能找到
image.png
再给个srping默认加载 redis配置文件的类:
spring.redis-org.springframework.boot.autoconfigure.data.redis.RedisProperties
深呼吸 爽一下....
网友评论