Spring Boot 在启动时进行配置文件加解密的方法详解

下面我将为您详细讲解“Spring Boot 在启动时进行配置文件加解密的方法详解”。

背景

在我们项目中，一般都会有敏感信息，如数据库密码、密钥等，而这些敏感信息往往存在于配置文件中，这就带来了安全性风险。为了解决这个问题，我们可以在项目启动时进行配置文件的加密和解密，以提高项目的安全性。

原理

Spring Boot 启动时会通过 Environment 接口加载配置文件，我们可以通过自定义 EnvironmentPostProcessor 来实现对配置文件的加解密操作。EnvironmentPostProcessor 是 Spring Boot 提供的扩展点，通常用于干预配置文件加载过程或做一些其他的编程控制。

实现步骤

具体的实现步骤如下：

1.创建加解密工具类

我们先创建一个加解密工具类，用于对配置文件进行加解密操作。下面是一个简单的加解密工具类的示例代码：

public class AESUtils {
    private static final String DEFAULT_CHARSET = "UTF-8";
    private static final String KEY_ALGORITHM = "AES";
    private static final String CIPHER_ALGORITHM = "AES/ECB/PKCS5Padding";

    /**
     * AES加密
     * @param content 需要加密的内容
     * @param key 加密密钥
     * @return
     */
    public static String encrypt(String content, String key) {
        try {
            Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);
            cipher.init(Cipher.ENCRYPT_MODE, new SecretKeySpec(key.getBytes(DEFAULT_CHARSET), KEY_ALGORITHM));
            byte[] encryptedBytes = cipher.doFinal(content.getBytes(DEFAULT_CHARSET));
            return Base64.getEncoder().encodeToString(encryptedBytes);
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

    /**
     * AES解密
     * @param content 待解密内容(base64编码)
     * @param key 解密密钥
     * @return 解密后的内容
     */
    public static String decrypt(String content, String key) {
        try {
            Cipher cipher = Cipher.getInstance(CIPHER_ALGORITHM);
            cipher.init(Cipher.DECRYPT_MODE, new SecretKeySpec(key.getBytes(DEFAULT_CHARSET), KEY_ALGORITHM));
            byte[] decodedBytes = Base64.getDecoder().decode(content);
            byte[] decryptedBytes = cipher.doFinal(decodedBytes);
            return new String(decryptedBytes, DEFAULT_CHARSET);
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }
}

2.实现 EnvironmentPostProcessor 接口

我们再实现一个 EnvironmentPostProcessor 接口的类，用于对读取到的配置文件进行解密操作，示例代码如下：

public class DecryptEnvironmentPostProcessor implements EnvironmentPostProcessor {

    private static final String DEFAULT_PROPERTY_NAME_PREFIX = "encrypted-";

    private boolean isEncryptedProperty(String propertyName) {
        return propertyName.startsWith(DEFAULT_PROPERTY_NAME_PREFIX);
    }

    @Override
    public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application) {
        MutablePropertySources propertySources = environment.getPropertySources();
        StreamSupport.stream(propertySources.spliterator(), false)
                .filter(propertySource -> propertySource instanceof EnumerablePropertySource)
                .map(propertySource -> (EnumerablePropertySource<?>) propertySource)
                .flatMap(propertySource -> Stream.of(propertySource.getPropertyNames()))
                .filter(this::isEncryptedProperty)
                .forEach(propertyName -> {
                    String encryptedValue = environment.getProperty(propertyName);
                    String decryptedValue = AESUtils.decrypt(encryptedValue, "1234567890123456");
                    String originalPropertyName = propertyName.replace(DEFAULT_PROPERTY_NAME_PREFIX, "");
                    propertySources.addFirst(new PropertySource<String>(originalPropertyName, decryptedValue) {});
                });
    }

}

在实现中，我们先判断配置文件中的属性名是否以 “encrypted-” 开头，如果是，就调用加解密工具类对属性值进行解密操作，解密后再存到一个新的 PropertySource 中，属性名为原来去掉了前缀 “encrypted-” 的属性名。

3.加密配置文件

最后一个步骤，我们需要将敏感信息加密并写入到配置文件中。可以手动执行加密工具类中的加密方法，得到加密后的值，再将其写入到配置文件中，例如：

app.datasource.username=encrypted-4Lgk0i0R4Xy9ex33xHZSEQ==
app.datasource.password=encrypted-jSaiPQh+f+kKCs+vTr1gzQ==

其中， “encrypted-” 是前缀，后面是加密后的值。

示例说明

这里给出两个示例来说明如何使用上述方法进行加解密操作。

示例1：加密数据库密码

假设我们有一个连接 MySQL 数据库的示例，在 application.properties 中配置了数据源相关的属性：

spring.datasource.url=jdbc:mysql://localhost:3306/mydb
spring.datasource.username=root
spring.datasource.password=root

现在，我们想要加密数据库的密码，以提高安全性。

首先，我们可以使用加密工具类对密码进行加密操作，例如：

String encryptedPassword = AESUtils.encrypt("root", "1234567890123456");
System.out.println(encryptedPassword);

运行上面的代码，会输出加密后的值，例如：

4Lgk0i0R4Xy9ex33xHZSEQ==

将这个值加入到配置文件中：

spring.datasource.url=jdbc:mysql://localhost:3306/mydb
spring.datasource.username=root
spring.datasource.password=encrypted-4Lgk0i0R4Xy9ex33xHZSEQ==

最后，我们只需要在 Spring Boot 应用程序中添加 DecryptEnvironmentPostProcessor 类，并注册到 Spring App 中，启动应用程序时就会自动解密属性值，并将其添加到 ApplicationContext 的 Environment 中。

示例2：加密 Redis 密钥

假设我们有一个连接 Redis 的示例，在 application.properties 中配置了 Redis 相关的属性：

spring.redis.host=localhost
spring.redis.port=6379
spring.redis.password=abc123

现在，我们想要加密 Redis 的密码，以提高安全性。

我们可以按照上面的步骤，使用加密工具类对 Redis 的密码进行加密操作，例如：

String encryptedPassword = AESUtils.encrypt("abc123", "1234567890123456");
System.out.println(encryptedPassword);

将这个值加入到配置文件中：

spring.redis.host=localhost
spring.redis.port=6379
spring.redis.password=encrypted-HsX7pKWrv/VKwG0k7lw+QQ==

最后，同样是添加 DecryptEnvironmentPostProcessor 类，并注册到 Spring App 中，启动应用程序时解密密码即可。

总结

上面的教程中，我们详细讲解了 Spring Boot 在启动时进行配置文件加解密的方法。通过这种方法，我们可以提高应用程序的安全性，保护敏感信息，防止信息泄露，是一种非常不错的实践方法。