Jasypt 加密配置文件

Jasypt介绍

Jasypt 也即Java Simplified Encryption是Sourceforge.net上的一个开源项目

该技术可用于加密任务与应用程序,例如加密密码、敏感信息和数据通信、创建完整检查数据的sums. 其他性能包括高安全性、基于标准的加密技术、可同时单向和双向加密的加密密码、文本、数字和二进制文件。

Jasypt也可以与Acegi Security整合也即Spring Security。Jasypt亦拥有加密应用配置的集成功能,而且提供一个开放的API从而任何一个Java Cryptography Extension都可以使用Jasypt。

Jasypt还符合RSA标准的基于密码的加密,并提供了无配置加密工具以及新的、高可配置标准的加密工具。

  1. 该开源项目可用于加密任务与应用程序,例如加密密码、敏感信息和数据通信
  2. 还包括高安全性、基于标准的加密技术、可同时单向和双向加密的加密密码、文本、数字和二进制文件。
  3. Jasypt还符合RSA标准的基于密码的加密,并提供了无配置加密工具以及新的、高可配置标准的加密工具。
  4. 加密属性文件(encryptable properties files)、Spring work集成、加密Hibernate数据源配置、新的命令行工具、URL加密的Apache wicket集成以及升级文档。
  5. Jasypt也可以与Acegi Security整合也即Spring Security。Jasypt亦拥有加密应用配置的集成功能,而且提供一个开放的API从而任何一个Java Cryptography Extension都可以使用Jasypt。

jasypt 集成Springboot项目

maven配置
<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.1.1</version>
</dependency>
yml中的配置

使用jasypt加密所需的salt(盐值),这个值是可以自定义的,此处以example为例

jasypt:
  encryptor:
    password: example

默认加密方式PBEWithMD5AndDES,可以更改为PBEWithMD5AndTripleDES,可以不写

jasypt:
  encryptor:
    algorithm: PBEWithMD5AndDES
明文加密

方案1:使用main方法进行加密

public static void main(String[] args) {
        BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
        //加密所需的salt(盐)
        textEncryptor.setPassword("example");
        //要加密的数据(数据库的用户名或密码)
        String username = textEncryptor.encrypt("zhangjz");
        String password = textEncryptor.encrypt("123456");
        System.out.println("username:"+username);
        System.out.println("password:"+password);
}

方案2:使用jar包进行加密

java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input=123456 password=example algorithm=PBEWithMD5AndDES

参数说明:

  • input:加上需要加密的明文
  • password:加上salt值(需要和项目中的application.yaml的password 一致)
  • algorithm:加上加密算法(默认使用的就是PBEWithMD5AndDES)

执行命令后即可在 OUTPUT 中可以看到加密后的密文。

注意:每次加密得到的结果都是不相同的,只需要取其中一次加密后端结果即可。

使用加密后的密文

将加密后的密码用ENC()括起来,均为英文大写,英文状态下的左右小括号

例如:

datasource:
  username: ENC(oeZGux4febKYd6/pTXH9+g==)
  password: ENC(OrRR0kOCtaCmOGUP+avDZg==)

可以自定义前缀和后缀

jasypt:
  encryptor:
    property:
      prefix: "ENC@["
      suffix: "]"

在自定义前缀和后缀以后,即可代替ENC();

如何存放盐值

盐值是非常重要的信息,放在什么地方,决定着你的密文是否真的安全。

(1)放在application.properties

这样能获得配置文件的人就能知道密钥,不够安全。但它是一种方便简单的方式。存在密文和密钥放在同一个配置文件的风险。

(2)JVM参数

在启动Java程序时加参数:-Djasypt.encryptor.password=example,这样就不会把密钥放在代码中去了。

(3)服务器的环境变量

把密钥放在linux系统的环境变量中去,只有能拿到服务器访问权限的人,才有可能知道密钥在哪。

# 配置profile文件
export JASYPT_PASSWORD = example
    
# 生效 
source /etc/profile
    
# 运行java程序时
java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar