使用durid的ConfigFilter对数据库密码加密

上一篇写到了使用druid对项目的sql、数据源,web、url、session等的监控,今天继续分享一个使用druid的ConfigFilter对数据库密码加密功能。

对于大部分程序员来说,数据库的信息,如用户名,密码等信息一般都写到配置文件中,便于修改和维护,然而这对于运维安全来说确实一个很大的挑战,如果黑客进入到你的系统里面去,那这些数据库用户名和密码就一目了然,这个是很不安全的。Druid为此提供一种数据库密码加密的手段ConfigFilter,使用他加密数据库密码,即使别人拿到了数据库连接密码,破解这个密码也得稍稍花点时间了,也对咱们的网站安全性提高了一些。

好了,废话少说,配置一下也是很简单的啦!

第一步: 执行druid的命令加密数据库密码 命令: java -cp druid-0.2.23.jar com.alibaba.druid.filter.config.ConfigTools xxxxxx

举个栗子:

命令:
D:\>java -cp druid-1.0.15.jar com.alibaba.druid.filter.config.ConfigTools 123456
输出:
Biyu5YzU+6sxDRbmWEa3B2uUcImzDo0BuXjTlL505+/pTb+/0Oqd3ou1R6J8+9Fy3CYrM18nBDqf6wAaPgUGOg==

输出的结果就是加密后的密码啦!xxxxxx为你的数据库密码明文。

第二步: 配置数据源,使用Druid配置数据源对数据库密码进行解密。

<!-- Druid JNDI DataSource for J2EE environments -->
<bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource" init-method="init" destroy-method="close">
    <property name="url" value="${jdbcUrl}" />
    <property name="username" value="${username}" />
    <property name="password" value="${password}" />
    <!-- 配置初始化大小、最小、最大 -->
    <property name="initialSize" value="5" />
    <property name="minIdle" value="5" />
    <property name="maxActive" value="20" />
    <!-- 配置获取连接等待超时的时间 -->
    <property name="maxWait" value="60000" />
    <!-- 配置间隔多久才进行一次检测,检测需要关闭的空闲连接,单位是毫秒 -->
    <property name="timeBetweenEvictionRunsMillis" value="3000" />
    <!-- 配置一个连接在池中最小生存的时间,单位是毫秒 -->
    <property name="minEvictableIdleTimeMillis" value="300000" />

    <property name="validationQuery" value="SELECT 'x' FROM DUAL" />
    <property name="testWhileIdle" value="true" />
    <property name="testOnBorrow" value="false" />
    <property name="testOnReturn" value="false" />

    <!--打开PSCache,并且指定每个连接上PSCache的大小 ,Oracle,把poolPreparedStatements配置为true,mysql可以配置为false。分库分表较多的数据库,建议配置为false-->
    <!--<property name="poolPreparedStatements" value="true" />-->
    <!--<property name="maxPoolPreparedStatementPerConnectionSize" value="20" />-->

    <!-- 开启Druid的监控统计功能 -->
    <property name="filters" value="stat,config" />
    <!-- 开启数据库密码解密-->
    <property name="connectionProperties" value="config.decrypt=true" />            
</bean>  

说明:这个数据源配置跟上一篇的配置大致相同,唯一的区别就是增加了开启数据库密码解密功能。name=”connectionProperties” value=”config.decrypt=true”,这个就是配置druid进行数据库密码解密。 值得注意的是:property name=”filters” value=”stat,config”这里面可以配置多个filter,除了上一次监控统计的stat,这次解密我们需要添加config。

经过简单的配置,这样配置文件里面的密码加密之后,有可以连接到数据库啦!

当然,使用ConfigFilter解密密码,有三种方式配置: 1) 可以在配置文件my.properties中指定config.decrypt=true 2) 也可以在DruidDataSource的ConnectionProperties中指定config.decrypt=true 3) 也可以在jvm启动参数中指定-Ddruid.config.decrypt=true

ConfigFilter不仅仅可以进行数据库加密,还可以支持配置文件从本地文件系统中读取,从远程http文件中读取配置操作,大家可以试试看!

参考连接:Druid ConfigFilter配置

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算教程系列

如何在CentOS上使用双重身份验证

在本教程中,您将学习如何在CentOS 7上使用一次性密码进行SSH上的双重身份验证。

1373
来自专栏小白安全

小白博客 CryKeX:Linux内存加密密钥提取工具

CryKeX特性 1. 跨平台 2. 简单实用 3. 交互性强 4. 兼容性/可移植性强 5. 应...

3328
来自专栏Android相关

Gradle解决多lib冲突

在引入第三方jar包的时候,可能会遇到很多库的冲突,例如均使用了OkHttp,RxJava等等,在打包的时候就会遇到Class多个定义的问题。而目前Androi...

952
来自专栏编程之旅

Linux的用户管理(一)

在看《鸟哥的Linux私房菜》的第四章之前,我操作Linux系统时,习惯性的使用root账号,为什么呢?无非图一个方便,没有那么多权限设置,对当时我这个Linu...

1274
来自专栏GuZhenYin

采用Opserver来监控你的ASP.NET项目系列(三、监控你的服务器状态)

前言 之前有过2篇关于如何监控ASP.NET core项目的文章,有兴趣的也可以看看. 今天我们主要来介绍一下,如何使用Opserver监控我们的服务器状态. ...

3756
来自专栏运维一切

sentry部署整理 原

sentry是python开发的一个应用,使用python uWSG框架运行,所有安装完sentry要记得在nginx的代理上禁用掉/admin路径,不然uws...

1511
来自专栏云计算教程系列

如何使用Python-GnuPG和Python 3验证代码和加密数据

GnuPG包提供用于生成和存储加密密钥的完整解决方案。它还允许您加密和签名数据和通信。

3727
来自专栏散尽浮华

Centos7.2下OpenVPN 环境完整部署记录

关于OpenVPN的有关介绍及为何使用OpenVPN在此就不做赘述了,下面直接记录Centos7.2系统下部署OpenVPN环境的操作过程: 1) 先将本机的y...

2.6K9
来自专栏潇涧技术专栏

Using Git with multiple Public Keys

很多时候,如果我们在多个网站有了Git账号,例如Github、GitCafe、CodingNet等,当我们与不同网站的代码库进行连接的时候可能会因为我们没有配置...

732
来自专栏沈唁志

PHP中利用PHPMailer配合QQ邮箱实现发邮件

1722

扫码关注云+社区