Spring Boot 配置文件加解密原理就這么簡單
背景
接上文《失蹤人口回歸,mybatis-plus 3.3.2 發布》[1] ,提供了一個非常實用的功能 「數據安全保護」 功能,不僅支持數據源的配置加密,對于 spring boot 全局的 yml /properties 文件均可實現敏感信息加密功能,在一定的程度上控制開發人員流動導致敏感信息泄露。
// 數據源敏感信息加密
spring:
datasource:
url: mpw:qRhvCwF4GOqjessEB3G+a5okP+uXXr96wcucn2Pev6BfaoEMZ1gVpPPhdDmjQqoM
password: mpw:Hzy5iliJbwDHhjLs1L0j6w==
username: mpw:Xb+EgsyuYRXw7U7sBJjBpA==
// 數據源敏感信息加密
spring:
redis:
password: mpw:Hzy5iliJbwDHhjLs1L0j6w==
實現原理
我們翻開 spring boot 官方文檔,翻到 4.2.6 章節 Spring Boot 不提供對加密屬性值的任何內置支持,但是提供修改 Spring 環境中包含的值所必需的擴展點 EnvironmentPostProcessor 允許在應用程序之前操作環境屬性值
mybatis-plus 的實現
public class SafetyEncryptProcessor implements EnvironmentPostProcessor {
@Override
public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {
//命令行中獲取密鑰
String mpwKey = null;
// 返回全部形式的配置源(環境變量、命令行參數、配置文件 ...)
for (PropertySource<?> ps : environment.getPropertySources()) {
// 判斷是否需要含有加密密碼,沒有就直接跳過
if (ps instanceof SimpleCommandLinePropertySource) {
SimpleCommandLinePropertySource source = (SimpleCommandLinePropertySource) ps;
mpwKey = source.getProperty("mpw.key");
break;
}
}
//處理加密內容(獲取到原有配置,然后解密放到新的map 里面(key是原有key))
HashMap<String, Object> map = new HashMap<>();
for (PropertySource<?> ps : environment.getPropertySources()) {
if (ps instanceof OriginTrackedMapPropertySource) {
OriginTrackedMapPropertySource source = (OriginTrackedMapPropertySource) ps;
for (String name : source.getPropertyNames()) {
Object value = source.getProperty(name);
if (value instanceof String) {
String str = (String) value;
if (str.startsWith("mpw:")) {
map.put(name, AES.decrypt(str.substring(4), mpwKey));
}
}
}
}
}
// 將解密的數據放入環境變量,并處于第一優先級上 (這里一定要注意,覆蓋其他配置)
if (!map.isEmpty()) {
environment.getPropertySources().addFirst(new MapPropertySource("custom-encrypt", map));
}
}
}
如何加載生效
resources/META-INF/spring.factories 配置 SPI
org.springframework.boot.env.EnvironmentPostProcessor=
com.baomidou.mybatisplus.autoconfigure.SafetyEncryptProcessor
擴展
mybatis-plus 默認是讀取啟動參數,可以在此處可以根據自己需求修改為更安全的根密鑰存儲。
讀取環境變量
System.getProperty("mpw.key")
遠程加載密碼服務
// 此處思路,參考 druid ConfigFilter
public Properties loadConfig(String filePath) {
Properties properties = new Properties();
InputStream inStream = null;
try {
boolean xml = false;
if (filePath.startsWith("file://")) {
filePath = filePath.substring("file://".length());
inStream = getFileAsStream(filePath);
xml = filePath.endsWith(".xml");
} else if (filePath.startsWith("http://") || filePath.startsWith("https://")) {
URL url = new URL(filePath);
inStream = url.openStream();
xml = url.getPath().endsWith(".xml");
} else if (filePath.startsWith("classpath:")) {
String resourcePath = filePath.substring("classpath:".length());
inStream = Thread.currentThread().getContextClassLoader().getResourceAsStream(resourcePath);
// 在classpath下應該也可以配置xml文件吧?
xml = resourcePath.endsWith(".xml");
} else {
inStream = getFileAsStream(filePath);
xml = filePath.endsWith(".xml");
}
if (inStream == null) {
LOG.error("load config file error, file : " + filePath);
return null;
}
if (xml) {
properties.loadFromXML(inStream);
} else {
properties.load(inStream);
}
return properties;
} catch (Exception ex) {
LOG.error("load config file error, file : " + filePath, ex);
return null;
} finally {
JdbcUtils.close(inStream);
}
}
總結
- 配置文件加解密,是通過自定義擴展 EnvironmentPostProcessor 實現
- 若項目中沒有使用最新版本 mybatis-plus ,可以參考如上自己實現,不過我推薦 jasypt-spring-boot-starter[2] ,原理類似實現了一個 EnableEncryptablePropertySourcesPostProcessor ,但是支持的加密方式更多更成熟
- 關于 jasypt 使用可以參考源碼: https://gitee.com/log4j/pig
