SpringBoot 项目使用 Jasypt 实现配置文件敏感信息加密

在实际项目开发中,配置文件(如application.yml/application.properties)会存放数据库密码、Redis 密码、第三方接口密钥等敏感信息。如果直接明文存储,一旦配置文件泄露,会带来严重的安全风险

Jasypt(Java Simplified Encryption)是一款轻量级的 Java 加密工具,能完美集成 Spring Boot,无需修改业务代码,即可实现配置文件敏感信息的加密与自动解密

一、核心依赖引入

Maven 依赖

XML 复制代码
 <dependency>
       <groupId>com.github.ulisesbocchio</groupId>
       <artifactId>jasypt-spring-boot-starter</artifactId>
       <version>2.1.0</version>
</dependency>

二、生成加密密文

Jasypt 需要加密密钥(盐值)加密算法 对明文加密,我们可以通过代码工具类生成密文

工具类生成密文

传入明文加密密钥,生成可配置到文件中的密文:

java 复制代码
public class JasyptUtil {
    public static void main(String[] args) {
        // 1. 创建加密器
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        EnvironmentPBEConfig config = new EnvironmentPBEConfig();

        // 2. 设置加密密钥
        config.setPassword("secret-key");
        // 3. 设置加密算法(默认算法)
        config.setAlgorithm("PBEWithMD5AndDES");
        encryptor.setConfig(config);

        // 4. 需要加密的明文     如数据库密码、Redis密码
        String plainText = "123456";
        // 5. 生成密文
        String cipherText = encryptor.encrypt(plainText);

        System.out.println("明文:" + plainText);
        System.out.println("加密后的密文:" + cipherText);
        // 解密
        System.out.println("解密后的明文:" + encryptor.decrypt(cipherText));
    }
}

运行结果示例

注意:每次加密生成的密文不同,但解密后都会得到相同的明文,这是正常现象。

三、Spring Boot 配置文件集成

1. 配置加密格式

在我们没引入Jasypt 时,我们是这样写的,可以看到密码暴漏,危险系数较高

XML 复制代码
server:
  port: 8080

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/testdb?characterEncoding=utf-8&useSSL=false&serverTimezone=UTC
    username: root
    password: 123456


  redis:
    host: localhost
    password: 123456
    database: 0

密文必须用 ENC(密文) 包裹,框架会自动识别并解密。

在我们引入Jasypt 后,可以看到密码不再是明文显示,安全性大幅度提高

XML 复制代码
server:
  port: 8080

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/testdb?characterEncoding=utf-8&useSSL=false&serverTimezone=UTC
    username: root
    password: ENC(EXDOlKLjBgXxmhlcUNUc9w==)


  redis:
    host: localhost
    password: ENC(EXDOlKLjBgXxmhlcUNUc9w==)
    database: 0



jasypt:
  encryptor:
    algorithm: PBEWithMD5AndDES
    password: secret-key

而我们在配置的

复制代码
jasypt:
  encryptor:
    algorithm: PBEWithMD5AndDES
    password: secret-key

这个也就是解密信息,放在这里只是测试用,后续我们可以放在启动类参数中,或者服务器环境变量中去读取

2. 启动项目验证

直接启动 Spring Boot 项目,无需修改任何业务代码 ,框架会自动将ENC()包裹的密文解密为明文,数据库、Redis 等组件可正常连接使用

四、解密密钥配置

上述配置中,加密密钥jasypt.encryptor.password直接写在配置文件中,存在密钥泄露风险。生产环境必须避免硬编码密钥,推荐以下 3 种安全方式

方式 1:启动命令参数

打包项目后,将配置文件中密钥删除,启动时通过命令行传入密钥

bash 复制代码
# Jar包启动,传入Jasypt密钥
java -jar your-project.jar --jasypt.encryptor.password=secret-key

方式 2:环境变量注入

配置文件可直接省略jasypt.encryptor.password,Jasypt 会自动读取环境变量。

相关推荐
诸神缄默不语1 分钟前
FastAPI后端配置CORS中间件支持浏览器跨域访问
后端·fastapi
Fanta丶2 分钟前
14.Activiti7 网关 排他网关ExclusiveGateway、并行网关ParallelGateway
后端
明月_清风11 分钟前
robots.txt 完全指南:从入门到精通
后端·爬虫
jvmind_dev11 分钟前
Java GC 实战指南(番外篇):被忽视的隐形杀手 —— Class Unloading 如何拖垮 GC
java·后端
An_s16 分钟前
机器学习python之识别图中物品信息
java·linux·开发语言
明月_清风18 分钟前
从零写一个"像人"的爬虫:反爬攻防实战指南
后端·爬虫
贰先生21 分钟前
Xiuno BBS 审计之问题13:管理员发帖 doctype=0 时存储型 XSS
后端
AIGS00137 分钟前
跨越语义鸿沟:企业本体语义平台的构建与落地
java·人工智能·python·机器学习·人工智能ai大模型应用
贰先生38 分钟前
Xiuno BBS 审计之问题12:HTTPS 请求关闭 SSL 证书校验,存在中间人攻击风险
后端
HZ_YZ1 小时前
清理服务器硬盘脚本
后端