大家好，我是車轍，我的掘金小冊《SkyWalking：應用監控和鏈路跟蹤》已經上線啦，這是我的第一本電子書，歡迎大家訂閱，

整整好是9月的最后一天下午，能按耐住沖動的是少之又少，至于原因嘛你懂的，趕高鐵的準備趕高鐵，沒趕高鐵的也假裝趕高鐵，特別是開發同學，腦門上就差貼張紙條：別打擾我，

現在離跑路時間還有1小時，這個時間點被我司同事親切的稱呼為“交流時間”，俗稱開會，這時候，釘釘的 ding 訊息彈框而出，“有些專案組的資料庫密碼是明文，被系統檢測出來了，國慶前必須修改完成”，

尼瑪，還國慶前，直接說今天不就行了，憤怒值 + 1，“系統也真會趕時間，有些領導下班前開會，你倒好，下班前來個安全檢查”，憤怒值直接 + 10086，

沒辦法，改唄，其實心里知道還是自己的問題，就是想當然了，沒有做到最好，就和寶蓮燈里二郎神教訓沉香似的，凡事不能差一點，這要是明文密碼泄漏造成嚴重事故，年終獎泡湯還算是好的，說不定直接喜提 N+1

資料庫明文加密

為了能按時“趕高鐵”，憑借著早些年玩QQ炫舞的手速，還是被我找到了解決方案，因為系統使用 Druid作為資料庫管理，可以利用 Druid自帶的加密工具進行加密，

首先通過它的ConfigTools對你的明文進行操作，生成公鑰、私鑰以及加密后的密碼，

// 需要加密的明文密碼 
String password = "youPassword"; 
// 呼叫 druid 工具類 生成私鑰、公鑰、密文
ConfigTools.main(new String[]{password});

結果也和我們預期的一致，

privateKey：私鑰，用于密碼的加密；
publicKey：公鑰，用于密碼的解密；
password：加密之后的密碼

感覺有戲啊，把剛剛生成的密文填寫到組態檔中，也就是替換之前的明文，

搞定，啟動專案，果不其然的系統報錯，納尼，是我操作的姿勢不對？

看了報錯結合分析，才發現是我公鑰沒有貼上去，之前也提到過，公鑰主要用來進行密碼的解密，你沒進行配置，系統就誤認為密碼就是這樣子，當然連接不上資料庫，瞧我這腦子，也就只能裝錢了，

添加配置后如下所示，：

重新啟動，大工搞成，正準備發到測驗環境，讓測驗大哥幫忙回歸下，身邊的同事來了句：”其他型別的秘鑰怎么辦“？

完了，專案里還有浙政釘的秘鑰，微信的秘鑰，理論上這些秘鑰也是屬于密碼，那么這些配置該怎么加密呢，也沒有原生的SDK 提供加密呀？于是，偷摸的問了其他組的同事并許以金鏟鏟讓雞的重利下，才知道他們用了名為Jasypt的組件，之前壓根就沒聽過，好在我技高一籌，靠著瘋狂百度，終于解決了這個坑爹的問題，往下看！

Jasypt

Jasypt 可以和 SpringBoot 整合，只需要簡單的配置，就能夠在專案啟動時，把密文解密成明文，做到對用戶加密不可見，對系統明文可見，

這里得補充一句，現在不能和 SpringBoot 整合的組件，想推廣都好難，

添加依賴

首先是添加 Jasypt 的SpringBoot依賴

<dependency>
  <groupId>com.github.ulisesbocchio</groupId>
  <artifactId>jasypt-spring-boot-starter</artifactId>
  <version>3.0.2</version>
</dependency>

明文加密

jasypt的加密步驟依賴于某個Key，叫做鹽值，通過它和某些演算法對明文密碼進行加密，可以得到密文，

有沒有工具類可以嘗嘗鮮呀？我這邊按照官網檔案寫了個工具類，在工具類中添加鹽值，然后設定明文密碼后呼叫，可以得到下圖所示的密文，

有需要原始碼的可以在這個地址下免費獲取，所有原始碼我都會整合在這個專案下面，鏈接

這個ENC(是Jasypt解密時的標識，至于被圈起來的就是我們的密文了，jasypt會在啟動時

根據該標識對資料進行解密，最后存放到記憶體中，

按照這種方式，我們就可以把所有被Spring管理的明文密碼全部替換成密文，然后啟動時進行解密，那么系統怎么知道鹽值是什么呢？

添加鹽值

我們之前只是手動在工具類設定了鹽值，如何在系統中設定呢？最簡單的方式就是在SpringBoot 組態檔中添加，

jasypt:
  encryptor:
    password: chezhe

如果覺得沒問題的同學，建議您和沉香一樣回爐重造下，這種方式不就和我們之前犯得錯誤一樣嘛，丟了西瓜撿了芝麻，就如同不經調研，貿然引入技術，最后反而需要對這項技術付出極大的成本，所以有句話我一直奉為經典：用的越多，錯的越多，

還記的SpringBoot的啟動方式嗎，我們可以把鹽值配置在啟動腳本中，

java -jar -Djasypt.encryptor.password=chezhe chezhe.jar

應該都看的懂這什么意思吧，看不懂的同學評論區評論，讓各位大佬們幫忙回答下，總不能被白嫖~

支持哪些加密演算法

在這個版本中默認的是PBEWITHHMACSHA512ANDAES_256，當然它還支持PBEWithMD5AndDES或者 SM4等加密演算法，有興趣的同學可以去官網看看，官網地址

總結

雖然最后“趕高鐵”以失敗告終，卻學到了不少技能，喜提N+1 失敗，也算是值了，通過Jasypt對明文密碼加密，專案啟動時解密，最后把鹽值存放到生產環境服務器中，大大降低了密碼被盜的概率，不過如果服務器被攻破了，那就當我沒說......

對于代碼中的密碼安全問題，大家還是要嚴謹，不要等到發現了才改，第一是麻煩，因為要回歸測驗，最好在第一次上線時就改掉，第二是在領導眼里印象也不好，可能還會影響績效，

最后希望大家多多點贊、收藏，就和買紙質書或者收藏電子書一樣，點贊、收藏了，也就代表學會了，不要問我怎么了解的這么清楚，

我是車轍，掘金小冊《SkyWalking》作者，一名常被HR調侃為XX楊洋的互聯網打工人，，

有需要原始碼的同學可以關注公眾號《車轍的編程學習圈》免費領取，之后的所有原始碼我都會整合在這個專案下面，也可以在此地址下，點擊領取下獲取，
本文由博客一文多發平臺 OpenWrite 發布！

轉載請註明出處，本文鏈接：https://www.uj5u.com/houduan/541097.html

標籤：其他

上一篇：Postman 進階技巧

下一篇：day14-功能實作13