[[383999]]

作者個(gè)人研發(fā)的在高并發(fā)場景下，提供的簡單、穩(wěn)定、可擴(kuò)展的延遲消息隊(duì)列框架，具有精準(zhǔn)的定時(shí)任務(wù)和延遲隊(duì)列處理功能。自開源半年多以來，已成功為十幾家中小型企業(yè)提供了精準(zhǔn)定時(shí)調(diào)度方案，經(jīng)受住了生產(chǎn)環(huán)境的考驗(yàn)。為使更多童鞋受益，現(xiàn)給出開源框架地址：https://github.com/sunshinelyz/mykit-delay

寫在前面

最近，有位讀者私信我說，他們公司的項(xiàng)目中配置的數(shù)據(jù)庫密碼沒有加密，編譯打包后的項(xiàng)目被人反編譯了，從項(xiàng)目中成功獲取到數(shù)據(jù)庫的賬號(hào)和密碼，進(jìn)一步登錄數(shù)據(jù)庫獲取了相關(guān)的數(shù)據(jù)，并對(duì)數(shù)據(jù)庫進(jìn)行了破壞。雖然這次事故影響的范圍不大，但是這足以說明很多公司對(duì)于項(xiàng)目的安全性問題重視程度不夠。

文章已收錄到：

https://github.com/sunshinelyz/technology-binghe

https://gitee.com/binghe001/technology-binghe

數(shù)據(jù)泄露緣由

由于Java項(xiàng)目的特殊性，打包后的項(xiàng)目如果沒有做代碼混淆，配置文件中的重要配置信息沒有做加密處理的話，一旦打包的程序被反編譯后，很容易獲得這些敏感信息，進(jìn)一步對(duì)項(xiàng)目或者系統(tǒng)造成一定的損害。所以，無論是公司層面還是開發(fā)者個(gè)人，都需要對(duì)項(xiàng)目的安全性有所重視。

今天，我們就一起來聊聊如何在項(xiàng)目中加密數(shù)據(jù)庫密碼，盡量保證數(shù)據(jù)庫密碼的安全性。本文中，我使用的數(shù)據(jù)庫連接池是阿里開源的Druid。

數(shù)據(jù)庫密碼加密

配置數(shù)據(jù)庫連接池

這里，我就簡單的使用xml配置進(jìn)行演示，當(dāng)然小伙伴們也可以使用Spring注解方式，或者使用SpringBoot進(jìn)行配置。

<!--數(shù)據(jù)源加密操作--> 
<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 
  
<bean id="statFilter" class="com.alibaba.druid.filter.stat.StatFilter" lazy-init="true"> 
        <property name="logSlowSql" value="true"/> 
        <property name="mergeSql" value="true"/> 
    </bean> 
<!-- 數(shù)據(jù)庫連接 --> 
<bean id="readDataSource" class="com.alibaba.druid.pool.DruidDataSource" 
          destroy-method="close" init-method="init" lazy-init="true"> 
        <property name="driverClassName" value="${driver}"/> 
        <property name="url" value="${url1}"/> 
        <property name="username" value="${username}"/> 
        <property name="password" value="${password}"/> 
        <!-- 初始化連接大小 --> 
        <property name="initialSize" value="${initialSize}"/> 
        <!-- 連接池最大數(shù)量 --> 
        <property name="maxActive" value="${maxActive}"/> 
        <!-- 連接池最小空閑 --> 
        <property name="minIdle" value="${minIdle}"/> 
        <!-- 獲取連接最大等待時(shí)間 --> 
        <property name="maxWait" value="${maxWait}"/> 
        <!-- --> 
        <property name="defaultReadOnly" value="true"/> 
        <property name="proxyFilters"> 
            <list> 
                <ref bean="statFilter"/> 
            </list> 
        </property> 
        <property name="filters" value="${druid.filters}"/> 
        <property name="connectionProperties" value="password=${password}"/> 
        <property name="passwordCallback" ref="dbPasswordCallback"/> 
        <property name="testWhileIdle" value="true"/> 
        <property name="testOnBorrow" value="false"/> 
        <property name="testOnReturn" value="false"/> 
        <property name="validationQuery" value="SELECT 'x'"/> 
        <property name="timeBetweenLogStatsMillis" value="60000"/> 
        <!-- 配置一個(gè)連接在池中最小生存的時(shí)間，單位是毫秒 --> 
        <property name="minEvictableIdleTimeMillis" value="${minEvictableIdleTimeMillis}"/> 
        <!-- 配置間隔多久才進(jìn)行一次檢測(cè)，檢測(cè)需要關(guān)閉的空閑連接，單位是毫秒 --> 
        <property name="timeBetweenEvictionRunsMillis" value="${timeBetweenEvictionRunsMillis}"/> 
</bean> 

其中要注意的是：我在配置文件中進(jìn)行了如下配置。

<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 
  
<property name="connectionProperties" value="password=${password}"/>   
<property name="passwordCallback" ref="dbPasswordCallback"/> 

生成RSA密鑰

使用RSA公鑰和私鑰，生成一對(duì)公鑰和私鑰的工具類如下所示。

package com.binghe.crypto.rsa; 
import java.security.Key; 
import java.security.KeyPair; 
import java.security.KeyPairGenerator; 
import java.security.interfaces.RSAPrivateKey; 
import java.security.interfaces.RSAPublicKey; 
import java.util.HashMap; 
import java.util.Map; 
import sun.misc.BASE64Decoder; 
import sun.misc.BASE64Encoder; 
/** 
 * 算法工具類 
 * @author binghe 
 */ 
public class RSAKeysUtil { 
  
    public static final String KEY_ALGORITHM = "RSA"; 
    public static final String SIGNATURE_ALGORITHM = "MD5withRSA"; 
    private static final String PUBLIC_KEY = "RSAPublicKey"; 
    private static final String PRIVATE_KEY = "RSAPrivateKey"; 
  
    public static void main(String[] args) { 
        Map<String, Object> keyMap; 
        try { 
            keyMap = initKey(); 
            String publicKey = getPublicKey(keyMap); 
            System.out.println(publicKey); 
            String privateKey = getPrivateKey(keyMap); 
            System.out.println(privateKey); 
        } catch (Exception e) { 
            e.printStackTrace(); 
        } 
    } 
  
    public static String getPublicKey(Map<String, Object> keyMap) throws Exception { 
        Key key = (Key) keyMap.get(PUBLIC_KEY); 
        byte[] publicKey = key.getEncoded(); 
        return encryptBASE64(key.getEncoded()); 
    } 
  
    public static String getPrivateKey(Map<String, Object> keyMap) throws Exception { 
        Key key = (Key) keyMap.get(PRIVATE_KEY); 
        byte[] privateKey = key.getEncoded(); 
        return encryptBASE64(key.getEncoded()); 
    } 
  
    public static byte[] decryptBASE64(String key) throws Exception { 
        return (new BASE64Decoder()).decodeBuffer(key); 
    } 
  
    public static String encryptBASE64(byte[] key) throws Exception { 
        return (new BASE64Encoder()).encodeBuffer(key); 
    } 
  
    public static Map<String, Object> initKey() throws Exception { 
        KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM); 
        keyPairGen.initialize(1024); 
        KeyPair keyPair = keyPairGen.generateKeyPair(); 
        RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic(); 
        RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate(); 
        Map<String, Object> keyMap = new HashMap<String, Object>(2); 
        keyMap.put(PUBLIC_KEY, publicKey); 
        keyMap.put(PRIVATE_KEY, privateKey); 
        return keyMap; 
    } 
} 

運(yùn)行這個(gè)類，輸出的結(jié)果如下：

在輸出的結(jié)果信息中，上邊是公鑰下邊是私鑰。

對(duì)密碼進(jìn)行加密

使用私鑰對(duì)明文密碼進(jìn)行加密，示例代碼如下所示。

package com.binghe.dbsource.demo; 
import com.alibaba.druid.filter.config.ConfigTools; 
/** 
 * 使用密鑰加密數(shù)據(jù)庫密碼的代碼示例 
 * @author binghe 
 */ 
public class ConfigToolsDemo { 
 /** 
  * 私鑰對(duì)數(shù)據(jù)進(jìn)行加密 
  */ 
 private static final String PRIVATE_KEY_STRING = "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"; 
    public static void main(String[] args) throws Exception { 
      //密碼明文，也就是數(shù)據(jù)庫的密碼 
        String plainText = "root"; 
        System.out.printf(ConfigTools.encrypt(PRIVATE_KEY_STRING, plainText)); 
 } 
} 

運(yùn)行上述代碼示例，結(jié)果如下所示。

然后將數(shù)據(jù)庫配置的鏈接密碼改為這個(gè)輸出結(jié)果如下：

jdbc.username=root 
jdbc.password=EA9kJ8NMV8zcb5AeLKzAsL/8F1ructRjrqs69zM70BwDyeMtxuEDEVe9CBeRgZ+qEUAshhWGEDk9ay3TLLKrf2AOE3VBn+w8+EfUIEXFy8u3jYViHeV8yc8Z7rghdFShhd/IJbjqbsro1YtB9pHrl4EpbCqp7RM2rZR/wJ0WN48= 

編寫解析數(shù)據(jù)庫密碼的類

package com.binghe.dbsource; 
import java.util.Properties; 
import com.alibaba.druid.filter.config.ConfigTools; 
import com.alibaba.druid.util.DruidPasswordCallback; 
/** 
 * 數(shù)據(jù)庫密碼回調(diào) 
 * @author binghe 
 */ 
public class DBPasswordCallback extends DruidPasswordCallback { 
 private static final long serialVersionUID = -4601105662788634420L; 
 /** 
  * password的屬性 
  */ 
 private static final String DB_PWD = "password"; 
 /** 
  * 數(shù)據(jù)對(duì)應(yīng)的公鑰 
  */ 
 public static final String PUBLIC_KEY_STRING = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCratyCT+YnQ12YzC+iPB0wJdIbVmUjjuNy4Wf/rLbCBudFrLltFCdr3axLY70xHycT+jdVTa27BfS67KegOAMlMMdNGVLnk5W1Gl+tNd+A4tCHUNwuEU7eZjyGxd4VCnq7PHLJbYGEeHwcr0dxKuJbfowKJVRypss7n7pB93d7yQIDAQAB"; 
  
 @Override 
 public void setProperties(Properties properties) { 
        super.setProperties(properties); 
        String pwd = properties.getProperty(DB_PWD); 
        if (pwd != null && !"".equals(pwd.trim())) { 
            try { 
                //這里的password是將jdbc.properties配置得到的密碼進(jìn)行解密之后的值 
                //所以這里的代碼是將密碼進(jìn)行解密 
                //TODO 將pwd進(jìn)行解密; 
                String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd);  
                setPassword(password.toCharArray()); 
            } catch (Exception e) { 
                setPassword(pwd.toCharArray()); 
            } 
        } 
    } 
} 

這里DBPasswordCallback類，就是在配置文件中配置的DBPasswordCallback類，如下所示。

<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 

其中PasswordCallback是javax.security.auth.callback包下面的，底層安全服務(wù)實(shí)例化一個(gè) PasswordCallback 并將其傳遞給 CallbackHandler 的 handle 方法，以獲取密碼信息。

當(dāng)然，除了使用上述的方式，自己也可以對(duì)應(yīng)一套加解密方法，只需要將 DBPasswordCallback的 String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd); 替換即可。

另外，在編寫解析數(shù)據(jù)庫密碼的類時(shí)，除了可以繼承阿里巴巴開源的Druid框架中的DruidPasswordCallback類外，還可以直接繼承自Spring提供的PropertyPlaceholderConfigurer類，如下所示。

public class DecryptPropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer{ 
    /** 
     * 重寫父類方法，解密指定屬性名對(duì)應(yīng)的屬性值 
     */ 
    @Override 
    protected String convertProperty(String propertyName,String propertyValue){ 
        if(isEncryptPropertyVal(propertyName)){ 
            return DesUtils.getDecryptString(propertyValue);//調(diào)用解密方法 
        }else{ 
            return propertyValue; 
        } 
    } 
    /** 
     * 判斷屬性值是否需要解密，這里我約定需要解密的屬性名用encrypt開頭 
     */ 
    private boolean isEncryptPropertyVal(String propertyName){ 
        if(propertyName.startsWith("encrypt")){ 
            return true; 
        }else{ 
            return false; 
        } 
    } 
} 

此時(shí)，就需要將xml文件中的如下配置

<bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 

修改為下面的配置。

<bean id="dbPasswordCallback" class="com.binghe.dbsource.DecryptPropertyPlaceholderConfigurer" lazy-init="true"/> 

到此，在項(xiàng)目中對(duì)數(shù)據(jù)庫密碼進(jìn)行加密和解析的整個(gè)過程就完成了。

本文轉(zhuǎn)載自微信公眾號(hào)「冰河技術(shù)」，可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請(qǐng)聯(lián)系冰河技術(shù)公眾號(hào)。