SpringBoot本身并没有自动加解密的功能,平时项目启动时,自动解密配置文件里**ENC( )**包含的数据,原因是使用了Jasypt(Java Simplified Encryption)。
一、前置条件,maven引入依赖
XML
<!-- Spring Boot集成Jasypt核心依赖 -->
<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.5</version> <!-- 适配Spring Boot版本 -->
</dependency>二、配置文件中设置密码和算法
要想SpringBoot在启动的时候,自动创建加解密的Bean对象,必须同时满足两个条件
一个是引入集成的依赖,【jasypt-spring-boot-starter】
另一个就是配置文件里必须指定密码【jasypt.encryptor.password】
java
jasypt:
encryptor:
# 加密/解密的密码(生产环境需安全存储,可以配置在环境变量里)
# 这里的密码用来生成符合指定算法的标准密钥(比如AES256需要32位长度的密钥,AES128需要16位长度的密钥)
password: UmrPassword1234
# 指定加密算法 (默认是PBEWITHHMACSHA512ANDAES_256),jdk8有些小版本有可能不支持,所以降级,方便测试
algorithm: PBEWITHHMACSHA512ANDAES_128
# 默认配置,会调这两个生成随机的偏移量(iv)和盐值(salt)
# iv-generator-classname: org.jasypt.iv.RandomIvGenerator
# salt-generator-classname: org.jasypt.salt.RandomSaltGenerator相关源码【JasyptEncryptorConfigurationProperties】
三、测试加解密
java
import org.jasypt.encryption.StringEncryptor;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.RestController;
import javax.annotation.PostConstruct;
@RestController
public class DemoController {
@Autowired
private StringEncryptor jasyptStringEncryptor;
@PostConstruct
public void init() {
String str = "admin123456Oracle";
String encrypt = jasyptStringEncryptor.encrypt(str);
System.out.println("加密之后的密文:"+ encrypt);
String decrypt = jasyptStringEncryptor.decrypt(encrypt);
System.out.println("解密之后的明文:"+decrypt);
}
}
运行结果
四、配置文件设置 ENC(密文)
把之前得到的加密串,用 ENC(密文) 的格式放到配置文件中
运行结果
五、疑问
既然每次 偏移量IV 是通过RandomIvGenerator随机生成的,那加解密的时候如何保证是同一个IV和Salt?
Jasypt 不会让 IV 和密文分离,会把 IV 放入最终的加密字符串,而解密的第一步就是拆分加密字符串,拿到 准确的IV 和 Salt,再利用 IV 和 Salt,对加密串进行解密。
这样做,即便是相同的明文数据,因为IV随机生成,最终生成的加密串也会不同。
具体源码在StandardPBEByteEncryptor
Salt的目的是在于结合用户密码(jasypt.encryptor.password),进行一些操作之后,生成一个标准的密钥。因为AES对称加密算法,需要一个标准密钥(AES256需要的密钥长度是32位,AES128需要的密钥长度是16位),配置文件配的用户密码(jasypt.encryptor.password)肯定是随意写的,不符合要求。
六、使用Jasypt工具类进行解密
java
import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;
public class JasyptUtil {
private static final String secretKey = "UmrPassword1234";
private static final String algorithm = "PBEWITHHMACSHA512ANDAES_128";
public static void main(String[] args) {
String encrypt = "Fnk4mSyyaLvL5iQPPRRzwcz44zS7aXFsGC3BA0lWsH3fY4nCd89+fYaLsjfK3JsfoIFNXGTHPmjbRQwsPsIiuA==";
StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
SimpleStringPBEConfig config = new SimpleStringPBEConfig();
//加密算法
config.setAlgorithm(algorithm);
// 指定IV生成器
config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
// 指定SALT生成器
config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
encryptor.setConfig(config);
//设置加密的密钥,一般是放在配置文件里
encryptor.setPassword(secretKey);
try{
String decrypt = encryptor.decrypt(encrypt);
System.out.println("解密的明文:" + decrypt);
}catch (Exception e){
e.printStackTrace();
}
}
}运行结果如下
如果把 生成IV的给注释掉,就会出现以下错误,提示IV长度不够,因为加解密的时候,一个用了RandomSaltGenerator,一个没用,就会出现以下错误。
七、源码解析
SpringBoot在项目启动的时候,会调用EncryptablePropertyResolver去判断,是否包含ENC,如果包含 "ENC(密文) ",就会自动进行解密
isEncryted方法满足了,才会走到这里面,说明需要解密
isEncrypted方法会判断前缀是否包含"ENC(",后缀是否包含")"
具体加解密类,【StandardPBEStringEncryptor】
八、注意事项,启动的时候出现乱码问题
如果启动的时候,解密出来是乱码的。
可能是以下情况:
①工具类和Springboot启动后使用的加解密算法不一致
②工具类指定生成偏移量(iv)或盐值(salt)的类,跟SpringBoot启动时指定的不一样
九、扩展
前面提到过,SpringBoot在启动的时候,会自动创建一个名叫jasyptStringEncryptor的bean,因此,我们可以创建一个相同名字的Bean,然后重写它的加解密方法,这样启动的时候,就会调我们自己写的加解密方法,而不是Jasypt里的加解密方法