使用jasypt对SpringBoot配置文件进行加密全攻略

需求背景：对项目application.properties配置文件中的数据库密码信息进行加密。

考察后，考虑使用jasypt，它是一款用于对配置文件信息进行MD5加密的工具。
可以参考该网站的文档对jasypt进行进一步的了解。
http://www.jasypt.org/
github地址：
https://github.com/jasypt/jasypt

由于很多应用使用 配置文件 (eg:properties、yml) 来存储配置信息，配置中经常会涉及到许多敏感信息。
举几个小例子：
*普通应用密码信息，如：DB、Rabbit、Redis等;
*特殊密码信息，如：Spring Cloud Config需要配置Git等VCS密码信息;
*第三方通讯凭证信息，如：调用第三方接口发送短信的通讯凭证信息;
这些信息一般在配置文件中都是不应该明文展示的，所以可以用这款工具来进行加密。

前置条件：
jasypt能够非常友好地支持springboot框架，所以建议在springboot框架中使用。

首先在pom.xml引入依赖，推荐使用：

  <dependency>
         <groupId>com.github.ulisesbocchio</groupId>
         <artifactId>jasypt-spring-boot-starter</artifactId>
         <version>2.0.0</version>
  </dependency>

如果使用这个依赖，就可以不用在启动项中加入注解@EnableEncryptableProperties

接着，在application.properties文件中设置盐值，以properties为例：

# 使用jasypt加密所需的salt(盐值)，这个值是可以自定义的，此处以example为例
jasypt.encryptor.password=example

# 默认加密方式PBEWithMD5AndDES,可以更改为PBEWithMD5AndTripleDES，可以不写
# jasypt.encryptor.algorithm=PBEWithMD5AndDES

盐值的概念：
我们使用 待加密字段，盐值，加密方式，三者作为参数进行加密。盐值是加密和解密时使用的关键参数，如果盐值泄露,会被反解出密码，所以目前这种把盐值参数存放在配置文件的做法是有漏洞的，后面会尝试给出解决方案。

第三步，生成密文：

//直接写一个方法
 public static void main(String[] args) {
        BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
        //加密所需的salt(盐)
        textEncryptor.setPassword("example");
        //要加密的数据（数据库的用户名或密码）
        String username = textEncryptor.encrypt("userName");
        String password = textEncryptor.encrypt("passWord");
        System.out.println("username:"+username);
        System.out.println("password:"+password);
    }

输出结果：
    username:amLG2xGHIs2TKMjrmIkEwNWF5NfnG3/Z
    password:yo0W9gsDpVVrZ55LLALqqSjhelA93l+F

将生成的密文配置到application.properties中，格式如下：
前缀需要添加"ENC(",后缀需要添加")",均为英文大写，英文状态下的左右小括号；

spring.datasource.username=ENC(amLG2xGHIs2TKMjrmIkEwNWF5NfnG3/Z)
spring.datasource.password=ENC(yo0W9gsDpVVrZ55LLALqqSjhelA93l+F)

或者直接使用jar包来生成对应的密文：

java -cp jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI password=example algorithm=PBEWithMD5AndDES input=userName

使用jar包直接传参生成密文

观察传参
password：自定义的盐值
algorithm：加密方式
input：待加密字段

最后OUTPUT的内容即为生成的密文，我们可以观察到，即使使用相同的password和input内容，生成的密文也是不一样的。

那么，我们怎么能确定这个密文对应的就是我们的待加密字段呢？

//也是直接写一个解密方法，传参为盐值和密文
public static void main(String[] args) {
    String password = "example";
    StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
    encryptor.setPassword(password);
    System.out.println(encryptor.decrypt("amLG2xGHIs2TKMjrmIkEwNWF5NfnG3/Z"));
}

结果如下： 使用盐值对密文进行解密 解密使用jar包生成的密文，也能得到同样的结果： 解密使用jar包生成的密文

于是我们可以在项目中正式应用数据加密了。

思考内容：可不可以直接不写盐值配置项呢？

答案是不可以。直接删除盐值配置项，项目启动报错：缺失配置项。 删除盐值配置项后启动报错
同样，如果写错了盐值配置项，同样会报错：解析失败，请确保盐值匹配： 使用错误盐值配置项的结果.jpg

回到之前的问题，如果我们把盐值写在配置文件里，其实并没有起到完全加密作用，根据盐值和密文是可以解密出原始密码的，所以盐值不能放在配置文件中。

尝试解决的思路：
1.在启动jar包时，直接将盐值配置信息作为参数注入：

--jasypt.encryptor.password=example

2.把盐值作为固定值，放在枚举类中，在启动时，先加载该盐值作为配置项：

public class DemoServiceApplication {
    public static void main(String[] args) {
        System.setProperty("jasypt.encryptor.password", ConstantsCode.JasyptPassword.getMessage());
        SpringApplication.run(DemoServiceApplication.class, args);
    }
}

3.在服务器配置环境变量：

打开/etc/profile文件
vim /etc/profile

文件末尾插入
export JASYPT_PASSWORD = example

编译 
source /etc/profile

运行 
java -jar -Djasypt.encryptor.password=${JASYPT_PASSWORD} xxx.jar

其中：ConstantsCode.JasyptPassword为配置的枚举常量。
当然，你可以继续对这个常量值进行加密，等于说把盐值藏起来。
比如使用String转ASCII码的方式对盐值进行一次加密，使用时，再通过ASCII转String的方法转换回来。

感谢：
使用jasypt加密Spring Boot应用中的敏感配置
https://blog.csdn.net/myle69/article/details/81052489
SpringBoot2+mybatis+jasypt实现数据库连接池加密的大坑
https://blog.csdn.net/knightyzl/article/details/82352381
Get史上最优雅加密方式！没有之一！
https://www.jianshu.com/p/64ceda636e81