資料洩露緣由
由于Java項目的特殊性,打包後的項目如果沒有做代碼混淆,配置檔案中的重要配置資訊沒有做加密處理的話,一旦打包的程式被反編譯後,很容易獲得這些敏感資訊,進一步對項目或者系統造成一定的損害。是以,無論是公司層面還是開發者個人,都需要對項目的安全性有所重視。
今天,我們就一起來聊聊如何在項目中加密資料庫密碼,盡量保證資料庫密碼的安全性。本文中,我使用的資料庫連接配接池是阿裡開源的Druid。
資料庫密碼加密
配置資料庫連接配接池
這裡,我就簡單的使用xml配置進行示範,當然小夥伴們也可以使用Spring注解方式,或者使用SpringBoot進行配置。
<!--資料源加密操作-->
<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/>
<bean id="statFilter" class="com.alibaba.druid.filter.stat.StatFilter" lazy-init="true">
<property name="logSlowSql" value="true"/>
<property name="mergeSql" value="true"/>
</bean>
<!-- 資料庫連接配接 -->
<bean id="readDataSource" class="com.alibaba.druid.pool.DruidDataSource"
destroy-method="close" init-method="init" lazy-init="true">
<property name="driverClassName" value="${driver}"/>
<property name="url" value="${url1}"/>
<property name="username" value="${username}"/>
<property name="password" value="${password}"/>
<!-- 初始化連接配接大小 -->
<property name="initialSize" value="${initialSize}"/>
<!-- 連接配接池最大數量 -->
<property name="maxActive" value="${maxActive}"/>
<!-- 連接配接池最小空閑 -->
<property name="minIdle" value="${minIdle}"/>
<!-- 擷取連接配接最大等待時間 -->
<property name="maxWait" value="${maxWait}"/>
<!-- -->
<property name="defaultReadOnly" value="true"/>
<property name="proxyFilters">
<list>
<ref bean="statFilter"/>
</list>
</property>
<property name="filters" value="${druid.filters}"/>
<property name="connectionProperties" value="password=${password}"/>
<property name="passwordCallback" ref="dbPasswordCallback"/>
<property name="testWhileIdle" value="true"/>
<property name="testOnBorrow" value="false"/>
<property name="testOnReturn" value="false"/>
<property name="validationQuery" value="SELECT 'x'"/>
<property name="timeBetweenLogStatsMillis" value="60000"/>
<!-- 配置一個連接配接在池中最小生存的時間,機關是毫秒 -->
<property name="minEvictableIdleTimeMillis" value="${minEvictableIdleTimeMillis}"/>
<!-- 配置間隔多久才進行一次檢測,檢測需要關閉的空閑連接配接,機關是毫秒 -->
<property name="timeBetweenEvictionRunsMillis" value="${timeBetweenEvictionRunsMillis}"/>
</bean>
其中要注意的是:我在配置檔案中進行了如下配置。
<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/>
<property name="connectionProperties" value="password=${password}"/>
<property name="passwordCallback" ref="dbPasswordCallback"/>
生成RSA密鑰
使用RSA公鑰和私鑰,生成一對公鑰和私鑰的工具類如下所示。
package com.binghe.crypto.rsa;
import java.security.Key;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.interfaces.RSAPrivateKey;
import java.security.interfaces.RSAPublicKey;
import java.util.HashMap;
import java.util.Map;
import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;
/**
* 算法工具類
* @author binghe
*/
public class RSAKeysUtil {
public static final String KEY_ALGORITHM = "RSA";
public static final String SIGNATURE_ALGORITHM = "MD5withRSA";
private static final String PUBLIC_KEY = "RSAPublicKey";
private static final String PRIVATE_KEY = "RSAPrivateKey";
public static void main(String[] args) {
Map<String, Object> keyMap;
try {
keyMap = initKey();
String publicKey = getPublicKey(keyMap);
System.out.println(publicKey);
String privateKey = getPrivateKey(keyMap);
System.out.println(privateKey);
} catch (Exception e) {
e.printStackTrace();
}
}
public static String getPublicKey(Map<String, Object> keyMap) throws Exception {
Key key = (Key) keyMap.get(PUBLIC_KEY);
byte[] publicKey = key.getEncoded();
return encryptBASE64(key.getEncoded());
}
public static String getPrivateKey(Map<String, Object> keyMap) throws Exception {
Key key = (Key) keyMap.get(PRIVATE_KEY);
byte[] privateKey = key.getEncoded();
return encryptBASE64(key.getEncoded());
}
public static byte[] decryptBASE64(String key) throws Exception {
return (new BASE64Decoder()).decodeBuffer(key);
}
public static String encryptBASE64(byte[] key) throws Exception {
return (new BASE64Encoder()).encodeBuffer(key);
}
public static Map<String, Object> initKey() throws Exception {
KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM);
keyPairGen.initialize(1024);
KeyPair keyPair = keyPairGen.generateKeyPair();
RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic();
RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate();
Map<String, Object> keyMap = new HashMap<String, Object>(2);
keyMap.put(PUBLIC_KEY, publicKey);
keyMap.put(PRIVATE_KEY, privateKey);
return keyMap;
}
}
運作這個類,輸出的結果如下:
在輸出的結果資訊中,上邊是公鑰下邊是私鑰。
對密碼進行加密
使用私鑰對明文密碼進行加密,示例代碼如下所示。
package com.binghe.dbsource.demo;
import com.alibaba.druid.filter.config.ConfigTools;
/**
* 使用密鑰加密資料庫密碼的代碼示例
* @author binghe
*/
public class ConfigToolsDemo {
/**
* 私鑰對資料進行加密
*/
private static final String PRIVATE_KEY_STRING = "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";
public static void main(String[] args) throws Exception {
//密碼明文,也就是資料庫的密碼
String plainText = "root";
System.out.printf(ConfigTools.encrypt(PRIVATE_KEY_STRING, plainText));
}
}
運作上述代碼示例,結果如下所示。
然後将資料庫配置的連結密碼改為這個輸出結果如下:
jdbc.username=root
jdbc.password=EA9kJ8NMV8zcb5AeLKzAsL/8F1ructRjrqs69zM70BwDyeMtxuEDEVe9CBeRgZ+qEUAshhWGEDk9ay3TLLKrf2AOE3VBn+w8+EfUIEXFy8u3jYViHeV8yc8Z7rghdFShhd/IJbjqbsro1YtB9pHrl4EpbCqp7RM2rZR/wJ0WN48=
編寫解析資料庫密碼的類
package com.binghe.dbsource;
import java.util.Properties;
import com.alibaba.druid.filter.config.ConfigTools;
import com.alibaba.druid.util.DruidPasswordCallback;
/**
* 資料庫密碼回調
* @author binghe
*/
public class DBPasswordCallback extends DruidPasswordCallback {
private static final long serialVersionUID = -4601105662788634420L;
/**
* password的屬性
*/
private static final String DB_PWD = "password";
/**
* 資料對應的公鑰
*/
public static final String PUBLIC_KEY_STRING = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCratyCT+YnQ12YzC+iPB0wJdIbVmUjjuNy4Wf/rLbCBudFrLltFCdr3axLY70xHycT+jdVTa27BfS67KegOAMlMMdNGVLnk5W1Gl+tNd+A4tCHUNwuEU7eZjyGxd4VCnq7PHLJbYGEeHwcr0dxKuJbfowKJVRypss7n7pB93d7yQIDAQAB";
@Override
public void setProperties(Properties properties) {
super.setProperties(properties);
String pwd = properties.getProperty(DB_PWD);
if (pwd != null && !"".equals(pwd.trim())) {
try {
//這裡的password是将jdbc.properties配置得到的密碼進行解密之後的值
//是以這裡的代碼是将密碼進行解密
//TODO 将pwd進行解密;
String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd);
setPassword(password.toCharArray());
} catch (Exception e) {
setPassword(pwd.toCharArray());
}
}
}
}
這裡DBPasswordCallback類,就是在配置檔案中配置的DBPasswordCallback類,如下所示。
<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/>
其中PasswordCallback是javax.security.auth.callback包下面的,底層安全服務執行個體化一個 PasswordCallback 并将其傳遞給 CallbackHandler 的 handle 方法,以擷取密碼資訊。
當然,除了使用上述的方式,自己也可以對應一套加解密方法,隻需要将
DBPasswordCallback的 String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd);
替換即可。
另外,在編寫解析資料庫密碼的類時,除了可以繼承阿裡巴巴開源的Druid架構中的DruidPasswordCallback類外,還可以直接繼承自Spring提供的PropertyPlaceholderConfigurer類,如下所示。
public class DecryptPropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer{
/**
* 重寫父類方法,解密指定屬性名對應的屬性值
*/
@Override
protected String convertProperty(String propertyName,String propertyValue){
if(isEncryptPropertyVal(propertyName)){
return DesUtils.getDecryptString(propertyValue);//調用解密方法
}else{
return propertyValue;
}
}
/**
* 判斷屬性值是否需要解密,這裡我約定需要解密的屬性名用encrypt開頭
*/
private boolean isEncryptPropertyVal(String propertyName){
if(propertyName.startsWith("encrypt")){
return true;
}else{
return false;
}
}
}
此時,就需要将xml檔案中的如下配置
<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/>
修改為下面的配置。
<bean id="dbPasswordCallback" class="com.binghe.dbsource.DecryptPropertyPlaceholderConfigurer" lazy-init="true"/>
到此,在項目中對資料庫密碼進行加密和解析的整個過程就完成了。