面试问题梳理:项目中防止配置中的密码泄露-Jasypt

背景

想起面试的时候,面试官问我现在大家用Spring框架,数据库、ES之类的密码都是配置在配置文件中的,有很大的安全隐患,你有考虑过怎么解决嘛?

当时我回答是可以在项目启动的过程中的命令行追加的方式,感觉面试官不太满意,让我回去等通知~

所以才想起来查了下Jasypt这个组件,有了这篇文档。

基础配置

这个组件的使用还是比较简单的,引入POM依赖,设置加密方式,添加前后缀即可使用

xml 复制代码
<dependency>
   <groupId>com.github.ulisesbocchio</groupId>
   <artifactId>jasypt-spring-boot-starter</artifactId>
   <version>3.0.3</version>
</dependency>

运行原理

根据我的理解,Jasypt的工作原理如下

  • jasypt-spring-boot-starter这个包里面配置了Spring需要扫描的路径和初始化的bean对象
  • 初始的bean对象会读取Spring的配置对象容器,然后将容器内容的配置对象都替换为Jasypt中EncryptablePropertySource,也就是配置对象的子类。
  • Spring是通过getProperty(name),而Jasypt重写了这个方法,在调用获取配置项值的过程中判断值是否包含加密前后缀,然后进行解密返回
    当然里面还包含了很多细节,如加密方式,对配置对象的代理,对配置项的缓存存储等。

感谢

感谢大佬对源码的解析

相关推荐
道可到几秒前
字节面试 Java 面试通关笔记 03| java 如何实现的动态加载(面试可复述版)
java·后端·面试
聪明的笨猪猪2 分钟前
Spring Boot & Spring Cloud高频面试清单(含通俗理解+生活案例)
java·经验分享·笔记·面试
要加油哦~3 分钟前
刷题 | 牛客 - 前端面试手撕题 - 中等 - 1-2/20 知识点&解答
前端·面试
聪明的笨猪猪18 分钟前
Spring MVC高频面试清单(含通俗理解+生活案例)
java·经验分享·笔记·面试
用户092 小时前
停止滥用 Dispatchers.IO:Kotlin 协程调度器的深度陷阱与优化实战
android·面试·kotlin
道可到3 小时前
淘宝面试原题 Java 面试通关笔记 02|从编译到运行——Java 背后的计算模型(面试可复述版)
java·后端·面试
Nathan202406163 小时前
Kotlin-Sealed与Open的使用
android·前端·面试
程序员二黑4 小时前
告别硬编码!5个让Web自动化脚本更稳定的定位策略
面试·单元测试·测试
懒羊羊不懒@4 小时前
C语言指针进阶(进阶)
java·开发语言·面试
聪明的笨猪猪5 小时前
Java SE “核心类:String/Integer/Object”面试清单(含超通俗生活案例与深度理解)
java·经验分享·笔记·面试