关于SpringBoot项目配置敏感信息加密问题处理方法

最新推荐文章于 2026-02-22 05:01:31 发布
原创 最新推荐文章于 2026-02-22 05:01:31 发布 · 930 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#SpringBoot 2.X
本文探讨了SpringBoot项目中配置文件的敏感信息如数据库凭证明文存储带来的风险,并提出使用jasypt库进行加密的解决方案。通过设置加密密钥并确保密钥的安全存储,可以增强属性配置的安全性。文章还推荐了将密钥配置在启动类中以提高安全性,并介绍了如何自定义ENC标记以实现加密属性的自动解密。

关于SpringBoot项目配置敏感信息加密问题处理方法

前言

SpringBoot项目配置文件一般是properties或者yml文件,项目打包的时候JVM是不进行编译处理的,目前项目中关于类似数据库地址、用户名、密码等都是明文,很容易泄露,造成损失。此文针对于这个问题提供一种解决方案,仅供参考。

技术方案

这里提供一种加解密的技术方案,来提高属性配置的安全性。利用到jasypt包,GitHub地址:https://github.com/ulisesbocchio/jasypt-spring-boot
这个组件需要在项目种配置加密密钥,每次对信息加密后都会得到不同的密文,但是解密都会得到相同的明文,非常适合数据库敏感配置信息的加密。
从项目启动信息来看,jasypt包使用的是默认的PBEWithMD5AndDES算法。

最佳实践

  1. 引入依赖包

    Gradle:

    compile group: 'com.github.ulisesbocchio', name: 'jasypt-spring-boot-starter', version: '2.1.1'

    Maven:

    <dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.1.1</version>
</dependency>

  2. 配置密钥
    密钥可以配置在properties或者yml文件中,但是这种是不安全的,最佳实践是配置在springboot启动类中,由JVM进行编译。代码如下:

    @SpringBootApplication
public class JiraApiApplication {

    public static void main(String[] args) {
        //配置密钥
        System.setProperty("jasypt.encryptor.password", "123456789");
        SpringApplication.run(JiraApiApplication.class, args);
    }

}

  3. 配置自定义ENC
    ENC是jasypt识别配置属性是否是加密后的,如果是,则会进行自动解密。
    默认是例如:datasource.username = ENC(用户名密文) 这样的形式。
    jasypt 支持自定义配置,需要在配置文件中配置。具体代码如下.这样配置属性的时候. datasource.username = ENC@{用户名密文},遇到ENC@{}这种配置会自动解密。

    #jasypt加密前缀后缀
jasypt.encryptor.property.prefix = ENC@{
jasypt.encryptor.property.suffix = }

  4. 敏感信息加密
    利用StringEncryptor的encrypt和decrypt进行加密和解密,把加密后的字符串赋值出来配置在原来配置的地方,例如 datasource.username = ENC@{密文},注意:ENC@{}必须带,不然不会解密。例子如下:

        @Autowired
    private StringEncryptor stringEncryptor;

    @GetMapping("/test")
    public String test() {
        String password = "jdbc:mysql://10.67.7.08:3306/txtx_api?useUnicode=true&characterEncoding=utf-8&useSSL=false";
        String url = stringEncryptor.encrypt(password);
        System.out.println("数据库地址加密:" + url);
        System.out.println("数据库地址解密:" + stringEncryptor.decrypt(url));
        String user = "df";
        String useren = stringEncryptor.encrypt(user);
        System.out.println("用户名加密:" + useren);
        System.out.println("用户名解密:" + stringEncryptor.decrypt(useren));
        String p = "fgf";
        String pern = stringEncryptor.encrypt(p);
        System.out.println("密码加密:" + pern);
        System.out.println("密码解密:" + stringEncryptor.decrypt(pern));

        System.out.println(jiraInfoConfig.getServer().toString());
        System.out.println(this.url);
        System.out.println(this.username);
        System.out.println(this.password);
        return "";
    }

    #database
spring.datasource.url = ENC@{AFAg9VNoh+Mftsh6OunDPjCUgD9WlV1mki5fSwKKllmhWdtr2VkGEvOrOka54B6lYN5MKkhq2FJq7ney7x8l7F16nhKMJQy3fDKLe6Ik7JK3T9U21AwCt6WeTVfRnEzYp62OmQInhds=}
spring.datasource.username = ENC@{2/Jb2ViwegnruYtkjBC3ZA==}
spring.datasource.password = ENC@{ladm0Gt6Vdm+D8JScT2ifqbmEUOADPyc}
SpringBoot 配置文件敏感信息加密
jeikerxiao
07-19 5841
说明 使用过SpringBoot配置文件的朋友都知道,资源文件中的内容通常情况下是明文显示,安全性就比较低一些。 打开application.properties或application.yml,比如 MySql登陆密码,Redis登陆密码以及第三方的密钥等等一览无余,这里介绍一个加解密组件,提高一些属性配置的安全性。 jasypt由一个国外大神写了一个springboot下的工具包,用来加密配置...
Springboot之Jasypt配置文件加密/解密
雨后是冰雹
06-21 1万+
前言在大多数项目中,配置文件中的 mysql 数据库密码、redis 密码等其他敏感性密码都是以明文形式存在,这种配置本身没有任何问题,但是,在某些情况下,可能会对公司造成不可挽救的损失,比如:某一天,小明因为加班过度,头脑发昏,不小心把公司项目上传到自己的 GitHub 仓库里面了,导致的后果就是,公司数据库用户名密码泄露,被某些大佬加以利用…所以,基于上面这种情况,加入配置文件中数据库用户密码等其他敏感信息都是经过加密处理过的呢???是不是可以大概率避免这种情况。Jasypt 因此应运而生。什么是Jas
SpringBoot配置文件敏感字段加解密
dhdhdh0920的专栏
02-27 1793
项目中,我们一般都将数据库密码等敏感信息配置配置文件中,这样做显然是存在一定风险的!如果对这些敏感信息进行加密,提高系统的安全水平,其实最直接的方法就是对这些敏感字段进行加密处理。 下面我们看看SpringBoot项目如果对配置文件敏感字段进行加解密。 SpringBoot项目中建议使用 Jasypt Spring Boot 进行加解密,Jasyp...
使用springboot+mybatis拦截器实现身份证等生产敏感数据的加解密
TanzJ的博客
01-25 7249
在实际生产项目中,经常需要对如身份证信息、手机号、真实姓名等的敏感数据进行加密数据库存储,但在业务代码中对敏感信息进行手动加解密则十分不优雅,甚至会存在错加密、漏加密、业务人员需要知道实际的加密规则等的情况。本文将介绍使用springboot+mybatis拦截器+自定义注解的形式对敏感数据进行存储前拦截加密的详细过程。 目录 一、什么是Mybatis Plugin 二、实现基于注解的敏...
SpringBoot配置文件加密
active_pig的博客
11-17 460
❝大多数的项目都是需要用到配置文件的,配置文件配置了一些必备信息,就比如数据库链接信息,缓存信息,而这些信息以明文的形式写在配置文件中,这是相当危险的,下面我就介绍一种解决方案,通过把配置信息加密放在配置文件中,这样就大大降低了风险。❞话不多说,直接上案例,代码比什么都管用。1.导入依赖<!--jasypt加密依赖--> <dependency>     <groupId>com.github.ulisesbocchio</g
springboot配置项ENC加解密
毅香雪海的博客
10-11 5968
springboot配置项ENC加解密
jasypt在springboot项目中遇到异常:Error creating bean with name ‘enableEncryptablePropertySourcesPostProc
08-05 2453
jasypt在springboot项目中遇到异常:Error creating bean with name 'enableEncryptablePropertySourcesPostProc 背景 在使用jasypt对spring boot的配置文件中的敏感信息进行加密处理时,使用stater直接启动时,遇到了一个异常 <dependency> <groupId>com.github.ulisesbocchio</groupId> <art
SpringBoot快速接入腾讯云智能客服IM实战指南:从配置到避坑
最新发布
2600_94960225的博客
02-22 750
自己做一套客服系统,听起来挺酷,但实际干起来,坑是真不少。首先,你得搞定消息的“必达性”。用户发了消息,你这边没收到,或者客服回复了,用户没看到,这体验直接就崩了。自己实现一套可靠的消息投递和状态同步机制,从协议选型(比如WebSocket长连接维护)、消息持久化、到离线推送,工作量巨大,而且稳定性很难保证。其次是多端同步。现在用户可能在网页、App、小程序上随时切换,客服也可能用着桌面端和移动端。确保所有端看到的会话状态、消息记录完全一致,又是一个复杂的分布式状态同步问题。最后是成本。
对spring boot yml配置文件敏感信息加密处理的两种方式
lty13142的博客
02-10 1万+
yml配置文件敏感信息无非就是数据库密码,redis密码,以及整合的其他实例的密码。 本文有手动配置加密处理和整合Jasypt方式两种方式 注意:整合Jasypt有个大坑:Spring boot2.2.x版本无论搭配Jasypt任何版本,打包后在Windows上正常运行,但是发布到linux上运行都会出现无法解密的问题! 方式一:手动配置加密处理(手动配置分三种情况) 1、数据库密码加密 如果项目整合的mybatis-plus存在数据源自动配置,需要通过yml获...
安全实现SpringBoot配置文件自动加解密
akaiyijian001的博客
05-24 9295
也可以自动扩展配置文件,如果有些项目自己在这个扩展点实现了自己的配置加载逻辑,可能就需要考虑顺序问题。综上既可以实现敏感配置文件的加解密,同时可以保障加密密钥的安全传入。相关实例处理后调用,且在Bean创建前。应用程序开发的时候,往往会存在一些敏感的配置属性。可自定义环境配置处理逻辑。
springboot整合ENC加密解密
qq_42800468的博客
06-06 2879
(上面的config.setPassword())的安全至关重要,不要将其暴露在不安全的环境中。假如上面控制台输出的结果是:encryptedRedisPwd。以redis为例,连数据库、连mq操作也一样。步骤 3: 在Redis配置中使用加密密码。步骤 4: 启动Spring Boot应用。步骤 1: 添加Jasypt依赖。步骤 2: 加密Redis密码。
Spring Boot中使用ENC加密
qq_43654631的博客
07-05 1426
防止配置文件中重要信息明文暴露,从而导致数据库、redis、mq、email等安全问题。使用ENC加密,有效防止他人窥视。报错如下,则依赖版本太高,改低一些运行成功。
SpringBoot安全实践:配置文件密码加密与解密
emprere的博客
05-26 915
因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享点击关注#互联网架构师公众号,领取架构师全套资料 都在这里0、2T架构师学习资料干货分上一篇:2T架构师学习资料干货分享大家好,我是互联网架构师!这两天又有人私信我,给我提需求了。说需要利用 SpringBoot 实现一个对配置文件中的明文密码加密的需求。这个需求其实不难,参考 SpringBoot 加载 Nacos 的配置相关...
Springboot项目如何设计接口中敏感字段的加密、解密?
凡夫编程
03-29 6015
Springboot项目中,客户端通过接口向服务端读取或写入敏感数据时,常会有这样的业务需求:1、在客户端向服务器端发起写入请求,服务端需要对写入的敏感数据进行加密后存储;2、在客户端从服务器端向外读取数据的时候,需要对输出的敏感数据里德解密; 显然这种场景,对于加密的方式的选择,对称加密是最好的选择;那么如何实现对写入请求、读取请求的敏感数据的加密、解密处理呢?解决方案如下:1、自定义两个切面注解,分别是加密切面注解、解密切面注解,作用于需要加密或解密的敏感数据处理的业务处理类的具体业务处理方法上;
spingboot项目如何加解密配置文件ENC(**)的密文
weixin_38924589的博客
08-17 816
【代码】spingboot项目如何加解密配置文件ENC(**)的密文。
可造成敏感信息泄露!Spring Boot之Actuator信息泄露漏洞三种利用方式总结
WangsuSecurity的博客
08-02 1万+
如果没有正确使用Actuator,可能造成信息泄露等严重的安全隐患。其中heapdump作为Actuator组件最为危险的Web端点,因未授权访问被恶意人员获取后进行分析,可进一步获取敏感信息
Springboot信息泄露
weixin_47118413的博客
09-26 1238
​Actuator组件为Spring Boot提供对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息。如果Actuator使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。heapdump作为Actuator组件最危险的Web接口,如Actuator配置不当,攻击者可无鉴权获取heapdump堆转储文件,分析heapdump堆转储文件进一步获取敏感信息
springboot加密密码等敏感信息
weixin_44928809的博客
08-22 414
springboot配置文件敏感信息加密敏感信息进行加密 最近项目在渗透测试和代码检查,配置文件中的敏感信息竟然要加密,由于CAS中很多配置都是默认配置自动加载,不容易写代码来加载属性,后来在github上找到一个对springboot配置文件进行加密解密的工具–jasypt 首先写在pom文件中引入jasypt的依赖 <dependency> <groupId>...
springboot数据库敏感数据加密解密
原名又逢乱世。不要放下学习的脚步,毕竟比天天打牌、钓鱼、打游戏更能从内在充实自己。
09-26 4449
数据库敏感数据加解密
Spring Boot使用jasypt处理加密问题
热门推荐
我只是一个简单的Coder,为了兴趣和理想奋斗在生活的道路上
03-13 1万+
1.背景现代互联网充斥着各种攻击、病毒、钓鱼、欺诈等手段,层出不穷。对于一个公司而已最基本的财富无非是代码和数据,“配置属性加密”的应用场景假设如果攻击者通过某些手段拿到部分敏感代码或配置,甚至是全部源代码和配置时,我们的基础设施账号依然不被泄漏。当然手段多种多种多样,比如以某台中毒的内网机器为肉机,对其他电脑进行ARP攻击抓去通信数据进行分析,或者获取某个账号直接拿到源代码或者配置,等等诸如此类...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值