SpringBoot本身并没有自动加解密的功能,平时项目启动时,自动解密配置文件里ENC( )包含的数据,原因是使用了Jasypt(Java Simplified Encryption)。
一、前置条件,maven引入依赖
<!-- Spring Boot集成Jasypt核心依赖 --> <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.5</version> <!-- 适配Spring Boot版本 --> </dependency>二、配置文件中设置密码和算法
要想SpringBoot在启动的时候,自动创建加解密的Bean对象,必须同时满足两个条件
一个是引入集成的依赖,【jasypt-spring-boot-starter】
另一个就是配置文件里必须指定密码【jasypt.encryptor.password】
jasypt: encryptor: # 加密/解密的密码(生产环境需安全存储,可以配置在环境变量里) # 这里的密码用来生成符合指定算法的标准密钥(比如AES256需要32位长度的密钥,AES128需要16位长度的密钥) password: UmrPassword1234 # 指定加密算法 (默认是PBEWITHHMACSHA512ANDAES_256),jdk8有些小版本有可能不支持,所以降级,方便测试 algorithm: PBEWITHHMACSHA512ANDAES_128 # 默认配置,会调这两个生成随机的偏移量(iv)和盐值(salt) # iv-generator-classname: org.jasypt.iv.RandomIvGenerator # salt-generator-classname: org.jasypt.salt.RandomSaltGenerator相关源码【JasyptEncryptorConfigurationProperties】
三、测试加解密
import org.jasypt.encryption.StringEncryptor; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.web.bind.annotation.RestController; import javax.annotation.PostConstruct; @RestController public class DemoController { @Autowired private StringEncryptor jasyptStringEncryptor; @PostConstruct public void init() { String str = "admin123456Oracle"; String encrypt = jasyptStringEncryptor.encrypt(str); System.out.println("加密之后的密文:"+ encrypt); String decrypt = jasyptStringEncryptor.decrypt(encrypt); System.out.println("解密之后的明文:"+decrypt); } }运行结果
四、配置文件设置 ENC(密文)
把之前得到的加密串,用 ENC(密文) 的格式放到配置文件中
运行结果
五、疑问
既然每次 偏移量IV 是通过RandomIvGenerator随机生成的,那加解密的时候如何保证是同一个IV和Salt?
Jasypt 不会让 IV 和密文分离,会把 IV 放入最终的加密字符串,而解密的第一步就是拆分加密字符串,拿到 准确的IV 和 Salt,再利用 IV 和 Salt,对加密串进行解密。
这样做,即便是相同的明文数据,因为IV随机生成,最终生成的加密串也会不同。
具体源码在StandardPBEByteEncryptor
Salt的目的是在于结合用户密码(jasypt.encryptor.password),进行一些操作之后,生成一个标准的密钥。因为AES对称加密算法,需要一个标准密钥(AES256需要的密钥长度是32位,AES128需要的密钥长度是16位),配置文件配的用户密码(jasypt.encryptor.password)肯定是随意写的,不符合要求。
六、使用Jasypt工具类进行解密
import org.jasypt.encryption.pbe.StandardPBEStringEncryptor; import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig; public class JasyptUtil { private static final String secretKey = "UmrPassword1234"; private static final String algorithm = "PBEWITHHMACSHA512ANDAES_128"; public static void main(String[] args) { String encrypt = "Fnk4mSyyaLvL5iQPPRRzwcz44zS7aXFsGC3BA0lWsH3fY4nCd89+fYaLsjfK3JsfoIFNXGTHPmjbRQwsPsIiuA=="; StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor(); SimpleStringPBEConfig config = new SimpleStringPBEConfig(); //加密算法 config.setAlgorithm(algorithm); // 指定IV生成器 config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator"); // 指定SALT生成器 config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator"); encryptor.setConfig(config); //设置加密的密钥,一般是放在配置文件里 encryptor.setPassword(secretKey); try{ String decrypt = encryptor.decrypt(encrypt); System.out.println("解密的明文:" + decrypt); }catch (Exception e){ e.printStackTrace(); } } }运行结果如下
如果把 生成IV的给注释掉,就会出现以下错误,提示IV长度不够,因为加解密的时候,一个用了RandomSaltGenerator,一个没用,就会出现以下错误。
七、源码解析
SpringBoot在项目启动的时候,会调用EncryptablePropertyResolver去判断,是否包含ENC,如果包含 "ENC(密文) ",就会自动进行解密
isEncryted方法满足了,才会走到这里面,说明需要解密
isEncrypted方法会判断前缀是否包含"ENC(",后缀是否包含")"
具体加解密类,【StandardPBEStringEncryptor】
八、注意事项,启动的时候出现乱码问题
如果启动的时候,解密出来是乱码的。
可能是以下情况:
①工具类和Springboot启动后使用的加解密算法不一致
②工具类指定生成偏移量(iv)或盐值(salt)的类,跟SpringBoot启动时指定的不一样
九、扩展
前面提到过,SpringBoot在启动的时候,会自动创建一个名叫jasyptStringEncryptor的bean,因此,我们可以创建一个相同名字的Bean,然后重写它的加解密方法,这样启动的时候,就会调我们自己写的加解密方法,而不是Jasypt里的加解密方法
