Springboot Druid 自定義加密資料庫密碼的幾種方案
前言
開發過程中,配置的資料庫密碼通常是明文形式,這樣首先第一個安全性不好(相對來說),不符合一個開發規範(如專案中不能出現明文賬號密碼),其實就是當出現特殊需求時,比如要對非運維人員開方伺服器部分許可權,但是又涉及專案部署的目錄時,容易洩漏資料庫密碼,雖然一般生產環境中,資料庫往往放入內網,訪問只能通過內網訪問,但是不管怎麼說賬號密碼直接讓人知道總歸不好,甚至有些專案需要部署到客戶環境中,但是可能共用一個公共資料庫(資料庫只向指定伺服器開放外網埠或組建內網環境),這樣的情況下,如果資料庫密碼再以明文形式存在,就非常危險了,常見的避免這些方式據我瞭解有2種
第一種:通過網路獲取密碼
這種是讓密碼通過介面獲取,當然介面中可以做加密認證,但是如果是把獲取地址和認證放在了配置檔案中,那麼稍微用心也能獲取到密碼,不過也可以跟第二種方法配合使用
第二種:密碼加密
通過對密碼加密,使得配置檔案中配置的密碼為密文,從而提升安全性,當然網路獲取密碼也可以獲取加密後的密碼,而國內常用的資料庫連線池是Druid,所以此文主要是針對Druid的資料庫密碼加密方案,Druid預設再帶了一個密碼加密,所以Druid加密密碼也有2種方案
Druid加解密密碼的2種方案
第一種:自帶加密
優點:簡單快捷,配置方便,無需改動程式碼(只需要改動配置檔案即可)
缺點:自欺欺人式加密,因為密碼和公鑰都需要配置到配置檔案中,只要別人有了配置檔案,看出來了你是用的Druid,就可以用druid進行解密
第二種:自行加解密
優點:相對更安全,可以自行實現加解密
缺點:需要改動原始碼,另外只要有對應原始碼和配置檔案也能解密,所以如果團隊中想要控制其他成員不能獲取到生產環境中的資料庫密碼,那麼成員就不能有生產環境中的配置檔案
自行加解密實現
Druid原生支援自行實現加解密,只需要實現解密類,然後配置對應解密類即可,首先編寫類繼承DruidPasswordCallback,在setProperties方法中解密密碼,我的解密程式碼如下(程式碼中有虛擬碼,不能直接複製使用,需要先替換虛擬碼):
/** * 解密資料庫密碼回撥 * @author Raye * @since 2020-12-21 */ @Slf4j public class DBPasswordCallback extends DruidPasswordCallback { @Override public void setProperties(Properties properties) { super.setProperties(properties); //獲取配置檔案中的已經加密的密碼 String pwd = (String)properties.get("password"); if (StringUtil.isNotEmpty(pwd)) { try { //這裡的程式碼是將密碼進行解密,並設定 String password = (解密密碼) setPassword(password.toCharArray()); } catch (Exception e) { e.printStackTrace(); } } } }
配置解密類
用了自行加解密之後,還需要在application.yml中配置解密的類,具體新增配置如下
spring: datasource: druid: connection-properties: password=${spring.datasource.druid.password} password-callback-class-name: 對應包名.DBPasswordCallback
注意配置中有虛擬碼,也就是加2個配置,其中connection-properties是一個map結構的配置,用;分割,可以自行定義其中key和value的值,最終會封裝成物件傳入DBPasswordCallback 類的setProperties方法中,password-callback-class-name則是配置解密回撥的類,也就是我們的DBPasswordCallback 類,需要跟包名一起設定,上面程式碼中報名用虛擬碼代替了,需要替換
以上就是Springboot 配合Druid實現自定義加解密資料庫密碼的配置方法,具體加解密本身的方法採用那種方法根據實際情況選擇即可
到此這篇關於Springboot Druid 自定義加密資料庫密碼的幾種方案的文章就介紹到這了,更多相關Springboot Druid 自定義加密資料庫密碼內容請搜尋我們以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援我們!