springboot中关于密码明文存储于配置文件的漏洞整改方式
springboot中关于密码明文存储于配置文件的漏洞整改方式
跟着飞哥学编程
发布于 2023-03-17 10:45:04
发布于 2023-03-17 10:45:04
问题背景:
日常我们开发中 yml 配置文件中应该会存储很多程序用到的变量值,但是涉及到一些关键性的比如密码之类的配置项,就会有很大的安全隐患,一旦源码泄露,那我们的数据库也就不安全了。
解决方式:
我们的解决思路也很简单,那就是涉及敏感信息的内容,给它做一个加密处理,这里我们用现成的加密工具组件叫 jasypt 。
- 引入组件依赖
在 pom.xml 中引入依赖 Jar
<!-- jasypt加密组件 https://mvnrepository.com/artifact/com.github.ulisesbocchio/jasypt-spring-boot-starter -->
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.5</version>
</dependency>- 在application.yml 文件中配置jasypt加密的秘钥
jasypt:
encryptor:
password: ILoveFeiGe- 编写生成加密内容的测试代码
这里我是自己写了一个接口 controller
@Slf4j
@Controller
@RequestMapping("/test")
public class TestController {
@Autowired
private StringEncryptor encryptor;
@RequestMapping(value="jm",method = RequestMethod.POST)
@ResponseBody
public ReturnData jm(String content) {
System.out.println("请求加密,加密内容:"+content);
try {
String contentJm = encryptor.encrypt(content);
System.out.println("请求加密,加密后密文:"+contentJm);
return new ReturnData(ReturnCode.SUCCESS.getCode(),contentJm,ReturnCode.SUCCESS.getMessage());
} catch (Exception e) {
System.err.println("请求加密异常:"+e);
return new ReturnData(ReturnCode.SYS_ERROR.getCode(),"请求加密异常");
}
}
}也是为了方便日后再调用此方法。可以看到核心的代码就是注入 StringEncryptor bean 文件,然后执行加密即可。
- 上一步生成的加密密文赋值到 yml 文件中替换即可。
比如,密文:DFSrFEIsKNAPIUMZcHwjq+kCF9UL/3OH9YnaO7R88kTcZuBvdN/s1Rdp3qwnLBwP
配置文件中用ENC()包裹密文参数即可
注:这里ENC() 的写法是固定的,程序会自动解析执行解密的。
- 上面的方法虽然能解决问题,但是又有新的问题出现了
我们的 jasypt 秘钥还是在配置文件中,还是不安全的。
- 把 jasypt 秘钥不存放在 yml 配置文件中,而是启动程序时,指定为启动 Jar 的参数。
- 服务器上启动 Jar 只需要用如下命令即可:
java -jar xxx.jar --jasypt.encryptor.password=ILoveFeiGe- 那本地运行调试时,也可以指定这个启动参数:
这样直接运行即可,也能保证敏感信息不存在于任何文件中。
本文参与 腾讯云自媒体分享计划,分享自作者个人站点/博客。
原始发表:2023-03-16,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录