给DataX配置加密的方法
前言
在生产环境中使用DataX,往往在json配置文件中需要用到数据库的账号信息,这是非常不安全的。好在DataX自带的功能支持对敏感信息加密解密,达到对配置文件信息脱敏的效果。
生成公钥和私钥
以下使用DataX源码的SecretUtil工具类,生成密钥对,并使用公钥对字符串123进行加密,得到加密字符串,再对加密字符串使用私钥解密,最终还原成123的过程。
java
public static void main(String[] args) throws Exception {
// 获取公钥与私钥
String[] keys = SecretUtil.initKey();
String publicKey = keys[0];
String privateKey = keys[1];
System.out.println("publicKey = " + publicKey);
System.out.println("privateKey = " + privateKey);
// 通过公钥加密
String encryptData = SecretUtil.encryptRSA("123", publicKey);
System.out.println("encryptData = " + encryptData);
// 通过私钥解密
String decryptData = SecretUtil.decryptRSA(encryptData, privateKey);
System.out.println("decryptData = " + decryptData);
}修改密钥配置
修改.secret.properties 配置文件,它在$DATAX_HOME\conf 目录下
bash
#ds basicAuth config
auth.user=
auth.pass=
current.keyVersion=v1
current.publicKey=sfwjwwrjwejrwelththwt
current.privateKey=543l5j34lkj53l4kj5kl3
current.service.username=
current.service.password=修改以下配置:
current.keyVersion该配置可自定义,用于后面DataX的json配置中使用;current.publicKey该配置为公钥,用来对敏感信息做加密;current.privateKey该配置为私钥,用来对敏感信息做解密;
DataX配置中应用
如以下配置示例,主要做了几下改动:
- 给
job节点添加keyVersion配置项,值取自上一步的配置current.keyVersion中的值 - 在需要脱敏的配置的
key前面加上一个*,如"*username"、"*password" - 修改
*开头的配置的取值,由明文改为密文,密文是由第一步的main方法生成而来
json
{
"job": {
"setting": {
"speed": {
"channel": 3
},
"errorLimit": {
"record": 0,
"percentage": 0.02
},
"keyVersion": "v1"
},
"content": [
{
"reader": {
"name": "mysqlreader",
"parameter": {
"*username": "a2KMPlT1nSUJx",
"*password": "b1VFs5VzcW4V0Cnyb",
// 省略
}
},
"writer": {
// 省略
}
}
]
}
}执行DataX任务,在打印日志中能看到username解密成功,password因为是敏感信息所以用***代替。
