微服务的一个很重要指标是服务和配置(application.yml)相分离,配置一般情况下放到配置中心,例如:spring-cloud的spring-config,consul的KV等,这样就带来了一个安全问题,如果将数据库URL、用户名、密码等敏感参数放到配置中心就容易造成关键信息泄露的风险,所以对这些数据应该以加密的方式存储到配置中心,本文就介绍如何实现这个需求。
依赖选型
spring-config已经实现了这些功能,但是其他的微服务平台并没有提供,而jasypt正好弥补了这个缺陷,而且现在jasypt提供了springboot的starter能力,首先在微服务的pom里边引入如下依赖。
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>2.1.1</version>
</dependency>
配置jasypt
jaspyt有很多配置项,例如:encryptor,jalgorithm,keyObtentionIterations,poolSize,providerClassName,saltGeneratorClassname,ivGeneratorClassname,stringOutputType等,其中encryptor.password是必须配置的,也就是根秘钥。这个配置建议打包到微服务jar里边,不要配置到配置中心。
# 配置加解密根秘钥
jasypt:
encryptor:
password: crazyicelee
生成加密串
配置中心存储的是敏感信息的加密串,所以在确定配置参数后,对这些参数先进行加密,然后再把加密后的base64字符串存储到配置中心对应的属性值中。加密过程可以在@Test方法中实现。
- 把StringEncryptor注入
@Autowired
private StringEncryptor stringEncryptor;
- 调用加密方法,生成对应的密文
调用加密方法encrypt,生成密文。
@Test
public void encryptTest(){
String miwen=stringEncryptor.encrypt("I am a Chinese.");
log.info("{}-{}",miwen,stringEncryptor.decrypt(source));
}
执行后的输出为:
2019-08-30 11:48:24.380 INFO 25460 --- [ main] c.c.l.a.thread.ApplicationTests : KVjBxrm+mtk+A5126CSFeahmd+1Xy6Hy-I am a Chinese.
- 把密文作为配置属性值写到配置中心
在原先的配置属性值的地方替换掉原来的明文数据,使用ENC函数引用密文。
#加密配置参数
myparameter: ENC(52mCXLK8fYjAL8xlCNt2f8jZkV1OYb0K)
工程中使用配置
工程中使用加密后的配置和原先的明文方式没有任何区别,jaspyt会在从配置中心引入到bean之前自动进行解密,也就是bean中获取的属性值还是加密前的明文。
@Value("${myparameter}")
private String myparameter;
读取配置文件中经过加密的属性值。
@Test
public void readMyparameterTest(){
log.info("{}",myparameter);
}
运行结果:
2019-08-30 11:48:24.380 INFO 25460 --- [ main] c.c.l.a.thread.ApplicationTests : I am a Chinese.
从上面的过程看非常之简单,和原先的配置属性使用方式没有太大的区别,但是从使用效果看安全性大大加强,俗话说“安全无小事”,希望大家在实际工程项目中都加密各自的敏感数据,不要给别有用心之人以可乘之机。
网友评论