面试问题梳理:项目中防止配置中的密码泄露-Jasypt
背景
想起面试的时候,面试官问我现在大家用Spring框架,数据库、ES之类的密码都是配置在配置文件中的,有很大的安全隐患,你有考虑过怎么解决嘛?
当时我回答是可以在项目启动的过程中的命令行追加的方式,感觉面试官不太满意,让我回去等通知~
所以才想起来查了下Jasypt这个组件,有了这篇文档。
基础配置
这个组件的使用还是比较简单的,引入POM依赖,设置加密方式,添加前后缀即可使用
<dependency><groupId>com.github.ulisesbocchio</groupId><artifactId>jasypt-spring-boot-starter</artifactId><version>3.0.3</version>
</dependency>运行原理
根据我的理解,Jasypt的工作原理如下
- jasypt-spring-boot-starter这个包里面配置了Spring需要扫描的路径和初始化的bean对象
- 初始的bean对象会读取Spring的配置对象容器,然后将容器内容的配置对象都替换为Jasypt中EncryptablePropertySource,也就是配置对象的子类。
- Spring是通过getProperty(name),而Jasypt重写了这个方法,在调用获取配置项值的过程中判断值是否包含加密前后缀,然后进行解密返回
当然里面还包含了很多细节,如加密方式,对配置对象的代理,对配置项的缓存存储等。
感谢
感谢大佬对源码的解析