作者个人研发的在高并发场景下,提供的简单、稳定、可扩展的延迟消息队列框架,具有精准的定时任务和延迟队列处理功能。自开源半年多以来,已成功为十几家中小型企业提供了精准定时调度方案,经受住了生产环境的考验。为使更多童鞋受益,现给出开源框架地址:https://github.com/sunshinelyz/mykit-delay
写在前面
最近,有位读者私信我说,他们公司的项目中配置的数据库密码没有加密,编译打包后的项目被人反编译了,从项目中成功获取到数据库的账号和密码,进一步登录数据库获取了相关的数据,并对数据库进行了破坏。虽然这次事故影响的范围不大,但是这足以说明很多公司对于项目的安全性问题重视程度不够。
文章已收录到:
https://github.com/sunshinelyz/technology-binghe
https://gitee.com/binghe001/technology-binghe
数据泄露缘由
由于Java项目的特殊性,打包后的项目如果没有做代码混淆,配置文件中的重要配置信息没有做加密处理的话,一旦打包的程序被反编译后,很容易获得这些敏感信息,进一步对项目或者系统造成一定的损害。所以,无论是公司层面还是开发者个人,都需要对项目的安全性有所重视。
今天,我们就一起来聊聊如何在项目中加密数据库密码,尽量保证数据库密码的安全性。本文中,我使用的数据库连接池是阿里开源的Druid。
数据库密码加密
配置数据库连接池
这里,我就简单的使用xml配置进行演示,当然小伙伴们也可以使用Spring注解方式,或者使用SpringBoot进行配置。
- --数据源加密操作-->
"dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> -
"statFilter" class="com.alibaba.druid.filter.stat.StatFilter" lazy-init="true"> -
name ="logSlowSql" value="true"/> -
name ="mergeSql" value="true"/> -
- -- 数据库连接 -->
"readDataSource" class="com.alibaba.druid.pool.DruidDataSource" - destroy-method="close" init-method="init" lazy-init="true">
-
name ="driverClassName" value="${driver}"/> -
name ="url" value="${url1}"/> -
name ="username" value="${username}"/> -
name ="password" value="${password}"/> - -- 初始化连接大小 -->
-
name ="initialSize" value="${initialSize}"/> - -- 连接池最大数量 -->
-
name ="maxActive" value="${maxActive}"/> - -- 连接池最小空闲 -->
-
name ="minIdle" value="${minIdle}"/> - -- 获取连接最大等待时间 -->
-
name ="maxWait" value="${maxWait}"/> - -- -->
-
name ="defaultReadOnly" value="true"/> -
name ="proxyFilters"> -
- "statFilter"/>
-
-
-
name ="filters" value="${druid.filters}"/> -
name ="connectionProperties" value="password=${password}"/> -
name ="passwordCallback" ref="dbPasswordCallback"/> -
name ="testWhileIdle" value="true"/> -
name ="testOnBorrow" value="false"/> -
name ="testOnReturn" value="false"/> -
name ="validationQuery" value="SELECT 'x'"/> -
name ="timeBetweenLogStatsMillis" value="60000"/> - -- 配置一个连接在池中最小生存的时间,单位是毫秒 -->
-
name ="minEvictableIdleTimeMillis" value="${minEvictableIdleTimeMillis}"/> - -- 配置间隔多久才进行一次检测,检测需要关闭的空闲连接,单位是毫秒 -->
-
name ="timeBetweenEvictionRunsMillis" value="${timeBetweenEvictionRunsMillis}"/> -
其中要注意的是:我在配置文件中进行了如下配置。
"dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> -
name ="connectionProperties" value="password=${password}"/> name ="passwordCallback" ref="dbPasswordCallback"/>
生成RSA密钥
使用RSA公钥和私钥,生成一对公钥和私钥的工具类如下所示。
- package com.binghe.crypto.rsa;
- import java.security.Key;
- import java.security.KeyPair;
- import java.security.KeyPairGenerator;
- import java.security.interfaces.RSAPrivateKey;
- import java.security.interfaces.RSAPublicKey;
- import java.util.HashMap;
- import java.util.Map;
- import sun.misc.BASE64Decoder;
- import sun.misc.BASE64Encoder;
-
- public class RSAKeysUtil {
-
- public static final String KEY_ALGORITHM = "RSA";
- public static final String SIGNATURE_ALGORITHM = "MD5withRSA";
- private static final String PUBLIC_KEY = "RSAPublicKey";
- private static final String PRIVATE_KEY = "RSAPrivateKey";
-
- public static void main(String[] args) {
- Map
keyMap; - try {
- keyMap = initKey();
- String publicKey = getPublicKey(keyMap);
- System.out.println(publicKey);
- String privateKey = getPrivateKey(keyMap);
- System.out.println(privateKey);
- } catch (Exception e) {
- e.printStackTrace();
- }
- }
-
- public static String getPublicKey(Map
keyMap) throws Exception { - Key key = (Key) keyMap.get(PUBLIC_KEY);
- byte[] publicKey = key.getEncoded();
- return encryptBASE64(key.getEncoded());
- }
-
- public static String getPrivateKey(Map
keyMap) throws Exception { - Key key = (Key) keyMap.get(PRIVATE_KEY);
- byte[] privateKey = key.getEncoded();
- return encryptBASE64(key.getEncoded());
- }
-
- public static byte[] decryptBASE64(String key) throws Exception {
- return (new BASE64Decoder()).decodeBuffer(key);
- }
-
- public static String encryptBASE64(byte[] key) throws Exception {
- return (new BASE64Encoder()).encodeBuffer(key);
- }
-
- public static Map
initKey() throws Exception { - KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM);
- keyPairGen.initialize(1024);
- KeyPair keyPair = keyPairGen.generateKeyPair();
- RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
- RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
- Map
keyMap = new HashMap(2); - keyMap.put(PUBLIC_KEY, publicKey);
- keyMap.put(PRIVATE_KEY, privateKey);
- return keyMap;
- }
- }
运行这个类,输出的结果如下:
在输出的结果信息中,上边是公钥下边是私钥。
对密码进行加密
使用私钥对明文密码进行加密,示例代码如下所示。
- package com.binghe.dbsource.demo;
- import com.alibaba.druid.filter.config.ConfigTools;
-
- public class ConfigToolsDemo {
-
- private static final String PRIVATE_KEY_STRING = "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";
- public static void main(String[] args) throws Exception {
- //密码明文,也就是数据库的密码
- String plainText = "root";
- System.out.printf(ConfigTools.encrypt(PRIVATE_KEY_STRING, plainText));
- }
- }
运行上述代码示例,结果如下所示。
然后将数据库配置的链接密码改为这个输出结果如下:
- jdbc.username=root
- jdbc.password=EA9kJ8NMV8zcb5AeLKzAsL/8F1ructRjrqs69zM70BwDyeMtxuEDEVe9CBeRgZ+qEUAshhWGEDk9ay3TLLKrf2AOE3VBn+w8+EfUIEXFy8u3jYViHeV8yc8Z7rghdFShhd/IJbjqbsro1YtB9pHrl4EpbCqp7RM2rZR/wJ0WN48=
编写解析数据库密码的类
- package com.binghe.dbsource;
- import java.util.Properties;
- import com.alibaba.druid.filter.config.ConfigTools;
- import com.alibaba.druid.util.DruidPasswordCallback;
-
- public class DBPasswordCallback extends DruidPasswordCallback {
- private static final long serialVersionUID = -4601105662788634420L;
-
- private static final String DB_PWD = "password";
-
- public static final String PUBLIC_KEY_STRING = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCratyCT+YnQ12YzC+iPB0wJdIbVmUjjuNy4Wf/rLbCBudFrLltFCdr3axLY70xHycT+jdVTa27BfS67KegOAMlMMdNGVLnk5W1Gl+tNd+A4tCHUNwuEU7eZjyGxd4VCnq7PHLJbYGEeHwcr0dxKuJbfowKJVRypss7n7pB93d7yQIDAQAB";
-
- @Override
- public void setProperties(Properties properties) {
- super.setProperties(properties);
- String pwd = properties.getProperty(DB_PWD);
- if (pwd != null && !"".equals(pwd.trim())) {
- try {
- //这里的password是将jdbc.properties配置得到的密码进行解密之后的值
- //所以这里的代码是将密码进行解密
- //TODO 将pwd进行解密;
- String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd);
- setPassword(password.toCharArray());
- } catch (Exception e) {
- setPassword(pwd.toCharArray());
- }
- }
- }
- }
这里DBPasswordCallback类,就是在配置文件中配置的DBPasswordCallback类,如下所示。
"dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/>
其中PasswordCallback是javax.security.auth.callback包下面的,底层安全服务实例化一个 PasswordCallback 并将其传递给 CallbackHandler 的 handle 方法,以获取密码信息。
当然,除了使用上述的方式,自己也可以对应一套加解密方法,只需要将 DBPasswordCallback的 String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd); 替换即可。
另外,在编写解析数据库密码的类时,除了可以继承阿里巴巴开源的Druid框架中的DruidPasswordCallback类外,还可以直接继承自Spring提供的PropertyPlaceholderConfigurer类,如下所示。
- public class DecryptPropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer{
-
- @Override
- protected String convertProperty(String propertyName,String propertyValue){
- if(isEncryptPropertyVal(propertyName)){
- return DesUtils.getDecryptString(propertyValue);//调用解密方法
- }else{
- return propertyValue;
- }
- }
-
- private boolean isEncryptPropertyVal(String propertyName){
- if(propertyName.startsWith("encrypt")){
- return true;
- }else{
- return false;
- }
- }
- }
此时,就需要将xml文件中的如下配置
"dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/>
修改为下面的配置。
"dbPasswordCallback" class="com.binghe.dbsource.DecryptPropertyPlaceholderConfigurer" lazy-init="true"/>
到此,在项目中对数据库密码进行加密和解析的整个过程就完成了。
本文转载自微信公众号「冰河技术」,可以通过以下二维码关注。转载本文请联系冰河技术公众号。