springboot实现application配置参数加解密

微服务的一个很重要指标是服务和配置(application.yml)相分离，配置一般情况下放到配置中心，例如：spring-cloud的spring-config，consul的KV等，这样就带来了一个安全问题，如果将数据库URL、用户名、密码等敏感参数放到配置中心就容易造成关键信息泄露的风险，所以对这些数据应该以加密的方式存储到配置中心，本文就介绍如何实现这个需求。

依赖选型

spring-config已经实现了这些功能，但是其他的微服务平台并没有提供，而jasypt正好弥补了这个缺陷，而且现在jasypt提供了springboot的starter能力，首先在微服务的pom里边引入如下依赖。

        <dependency>
            <groupId>com.github.ulisesbocchio</groupId>
            <artifactId>jasypt-spring-boot-starter</artifactId>
            <version>2.1.1</version>
        </dependency>

配置jasypt

jaspyt有很多配置项，例如：encryptor，jalgorithm，keyObtentionIterations，poolSize，providerClassName，saltGeneratorClassname，ivGeneratorClassname，stringOutputType等，其中encryptor.password是必须配置的，也就是根秘钥。这个配置建议打包到微服务jar里边，不要配置到配置中心。

# 配置加解密根秘钥
jasypt:
  encryptor:
    password: crazyicelee

生成加密串

配置中心存储的是敏感信息的加密串，所以在确定配置参数后，对这些参数先进行加密，然后再把加密后的base64字符串存储到配置中心对应的属性值中。加密过程可以在@Test方法中实现。

1. 把StringEncryptor注入

    @Autowired
    private StringEncryptor stringEncryptor;

2. 调用加密方法，生成对应的密文
   调用加密方法encrypt，生成密文。

    @Test
    public void encryptTest(){
        String miwen=stringEncryptor.encrypt("I am a Chinese.");
        log.info("{}-{}",miwen,stringEncryptor.decrypt(source));
    }

执行后的输出为：

2019-08-30 11:48:24.380  INFO 25460 --- [           main] c.c.l.a.thread.ApplicationTests          : KVjBxrm+mtk+A5126CSFeahmd+1Xy6Hy-I am a Chinese.

3. 把密文作为配置属性值写到配置中心
   在原先的配置属性值的地方替换掉原来的明文数据，使用ENC函数引用密文。

#加密配置参数
myparameter: ENC(52mCXLK8fYjAL8xlCNt2f8jZkV1OYb0K)

工程中使用配置

工程中使用加密后的配置和原先的明文方式没有任何区别，jaspyt会在从配置中心引入到bean之前自动进行解密，也就是bean中获取的属性值还是加密前的明文。

    @Value("${myparameter}")
    private String myparameter;

读取配置文件中经过加密的属性值。

    @Test
    public void readMyparameterTest(){
        log.info("{}",myparameter);
    }

运行结果：

    2019-08-30 11:48:24.380  INFO 25460 --- [           main] c.c.l.a.thread.ApplicationTests          : I am a Chinese.

从上面的过程看非常之简单，和原先的配置属性使用方式没有太大的区别，但是从使用效果看安全性大大加强，俗话说“安全无小事”，希望大家在实际工程项目中都加密各自的敏感数据，不要给别有用心之人以可乘之机。