使用Jasypt加密Spring配置文件及其注意事项

技术公众号：Java In Mind（Java_In_Mind）,欢迎关注！

问题

在我们的应用程序，为了防止hardcode，通常会把程序中可能会变的，或者与环境相关的信息抽离出来，从而形成配置文件。

在Java应用中通常就是properties文件或者yml文件之类的，但是这部分信息由于抽离独立开来将会变得比较容易泄露，而配置文件中往往含有比较敏感的信息，例如，数据库密码，这些数据一旦泄露有可能造成严重的后果；那么自然而然的，我们就会想到对配置文件的敏感信息进行加密。

Jasypt简介

Jasypt(Java Simplified Encryption)，一个用于加密的Java类库，目的就是让开发者很简便的将加密功能引入自己的项目中来，而不需要去明白具体的加密知识，其有如下特点：

• 基于标准的加密算法，支持单向加密与反向加解密
• 与Hibernate可以无缝集成
• 适用于使用Spring应用的基础，与SpringSecurity可以实现无缝集成
• 提供加密应用的配置文件的集成
• 提供多处理器/多核系统中高性能加密的特定功能
• 开放与任何JCE（Java Cryptography Extension）实现相同的API

Spring Boot集成Jasypt加密配置文件

配置

SpringBoot集成Jasypt配置很简单，只需引入依赖，然后配置Jasypt相关属性参数即可：

• Maven

    com.github.ulisesbocchio
    jasypt-spring-boot-starter
    2.1.2

• 配置文件加密

# 如配置，application.properties
application.author=ENC(9afnWGGYyzZN38vYYfYx1ZM9ql//Vp+8)

• 启动应用时，配置系统属性

java -jar foo.jar -Djasypt.encryptor.password=HelloWorld

加密

那么，配置文件中的加密密文该如何获取呢？Jasypt官方提供了CLI工具，通过脚本可以生成对应的密文，具体操作如下：

• 从Github下载Jasypt：https://github.com/jasypt/jasypt

• 解压进入/bin目录

• 根据需要执行对应脚本

  例如，本例子的密文生成，默认使用PBEWithMD5AndDES算法：

  $ sh encrypt.sh input=sevenlin password=HelloWorld
  
  ----ENVIRONMENT-----------------
  
  Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 25.73-b02
    
    
  ----ARGUMENTS-------------------
  
  input: sevenlin
  
  password: HelloWorld
    
    
  ----OUTPUT----------------------
  
  lUmhU/2EgreTZVdtWFCnqE86tXuo6OMp
  
  

• 或者，自己写个简单的类来生成

  public class EncryptDemo {
      public static void main(String[] args) {
          StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
          encryptor.setPassword("HelloWorld");
          String enc = encryptor.encrypt("sevenlin");
          System.out.println(enc);
      }
  }
  

使用&验证

• 写个Service验证

  @Service
  @Slf4j
  public class JasyptDemoService {
  
      @Value("${application.author}")
      private String author;
  
      @PostConstruct
      public void print() {
          log.info("===================================================================");
          log.info("application.author:{}", author);
          log.info("===================================================================");
      }
  
      //...
  
  }
  

• 结果，验证成功：

  ===================================================================
  application.author:sevenlin
  ===================================================================
  

注意事项

使用时将密钥与密文分开配置

我看过有的在使用Jasypt的时候，将密钥与密文都放在一个配置文件里，那不等于把钥匙放在门口一样的意思么，虽然加密了，但是只要配置文件泄露了，那么就可以通过密钥来实现解密，达不到保护敏感信息的目的，可以有以下几种方式来配置密钥：

• 系统属性：java -jar foo.jar -Djasypt.encryptor.password=HelloWorld

• 运行参数：java -jar foo.jar --jasypt.encryptor.password=HelloWorld

• 环境变量

  # Linux vim /etc/profile
  export jasypt.encryptor.password=HelloWorld
  
  # Windows
  系统->更改设置->高级->环境变量->新增：jasypt.encryptor.password=HelloWorld
  

其他配置项

Key（配置项）	Required（必须）	Default Value（默认值）
jasypt.encryptor.password	True	-
jasypt.encryptor.algorithm	False	PBEWithMD5AndDES
jasypt.encryptor.keyObtentionIterations	False	1000
jasypt.encryptor.poolSize	False	1
jasypt.encryptor.providerName	False	SunJCE
jasypt.encryptor.providerClassName	False	null
jasypt.encryptor.saltGeneratorClassname	False	org.jasypt.salt.RandomSaltGenerator
jasypt.encryptor.ivGeneratorClassname	False	org.jasypt.iv.NoIvGenerator
jasypt.encryptor.stringOutputType	False	base64
jasypt.encryptor.proxyPropertySources	False	false

其他的可以详看配置类：

com.ulisesbocchio.jasyptspringboot.properties.JasyptEncryptorConfigurationProperties