wap网站开发培训,邯郸移动网站制作,网页设计公司logo放哪个位置,搜索关键词网站文章目录 前言Spring Cloud 第一代1、创建config server项目并加入加解密key2、启动项目#xff0c;进行数据加密3、实际项目中的测试server Spring Cloud Alibaba低版本架构不支持#xff0c;取巧实现无加密配置#xff0c;联调环境问题加密数据源配置原理探究自定义加密解… 文章目录 前言Spring Cloud 第一代1、创建config server项目并加入加解密key2、启动项目进行数据加密3、实际项目中的测试server Spring Cloud Alibaba低版本架构不支持取巧实现无加密配置联调环境问题加密数据源配置原理探究自定义加密解密器实现数据源加密解密配置 前言
之前就想着做一个汇总的记录在实际项目开发中公司、客户等群体对数据安全性问题都是很看重的结合实际的开发本次做一个各项分布式微服务架构的加密配置说明汇总。
Spring Cloud 第一代
在第一代 Spring Cloud架构体系中一般是将公用的或者配置随环境需要变动的采用Config配置中心进行集中管理。Spring Cloud Config配置中心本身就具备配置文件的加解密配置处理。 注意标识{cipher} 具体实现方式如下所示 config server的加解密功能依赖Java Cryptography ExtensionJCE 本次开发测试使用的是 jdk 1.8所以jdk 1.8 的jce 下载地址为 https://www.oracle.com/java/technologies/javase-jce8-downloads.html 下载并解压将其中的jar包覆盖到JDK/jre/lib/security目录中。 关于 jce_policy-8.zip 我这里已经下载好了具体需要用到的可以去我的github中查找 《jdk1.8 jce依赖文件》 《jce_policy安装【java密码扩展无限制权限策略文件安装】》
[注意] 安装jdk需要在jre/lib/security中粘贴上述中的两个jar文件 同时如果安装了jre也需要在jre中添加jce的jar文件。
1、创建config server项目并加入加解密key 由于此时的加解密key不能被修改和覆盖所以需要创建bootstrap.yml文件进行配置。 bootstrap.yml
### 添加加解密key
## (不能被覆盖和修改所以必须配置在bootstrap.yml中)
encrypt:key: xiangjiaobunana配置好信息后其他配置沿用之前的demo配置。 application.yml
###服务名称(服务注册到eureka名称)
spring:application:name: springcloud-config-service## Config Server 配置中心Service配置信息
## 配置文件所在的 git 仓库地址
spring.cloud.config.server.git.uri: https://github.com/765199214/springcloud2.0-config-service.git
## 配置文件再哪个文件夹下
spring.cloud.config.server.git.search-paths: respo
## 配置 clone-on-start 启动时就clone仓库到本地默认是在配置被首次请求时config server 才会 clone git 仓库
spring.cloud.config.server.git.clone-on-start: true
## 配置默认 git clone 至指定的磁盘或文件夹内(linux 只有一个 / 根windows 会进入项目所在的磁盘下)
spring.cloud.config.server.git.basedir: /data/config server/2、启动项目进行数据加密 Config Server 本身就为此提供了加解密操作的接口环境配置中只需要请求 /encrypt与/decrypt 即可实现。 加密 成功启动项目后请求下列接口实现加密的输出 curl http://localhost:3000/encrypt -d ‘要加密的信息’ post 请求 加密后 解密
初步的加密解密实现了此时又该如何应用到实际的项目中去呢
3、实际项目中的测试server
修改 github 中的文件信息。
springboot:datasources:username: rootpassword: {cipher}38785234edc0396a0cc887cb8c737546f1fe244c5baaeae253789744d9a8484b ## {cipher}只是一个标记方便springcloud去识别判断如果没加标记则不会进行解密操作 修改config server 中的文件夹扫描路径 spring.cloud.config.server.git.search-paths: respo,en* 重启项目请求测试 http://localhost:3000/config-encrypt-dev.yml 查看本地缓存的git 信息得知 [总结] 本地的文件依旧是 密文 他只会在内存中进行解密操作 [问]如果不想在 server 中就进行解密而是想在client中再解密(server拿到依旧是密文client解密)我又该如何操作 增加下列配置信息 spring.cloud.config.server.encrypt.enabled: false Spring Cloud Alibaba
Spring cloud Alibaba在国内用的较多相比第一代的cloud而言Spring cloud Alibaba 的 Nacos本身就具备eureka/Zookeper 注册中心、Config 配置中心、Bus 配置消息通知等功能。 并且第一代cloud早就未出现后续的维护更新操作论安全方面cloud alibaba更加具备。 但Cloud Alibaba的Naocs在 2.0.4版本中才支持配置文件的加密。 关于配置和使用参考官方文档 Nacos 配置文件加密操作
低版本架构不支持取巧实现
如果实际开发中选择的架构版本比较低(相对支持版)或者非分布式架构然道就不能支持配置的加密解密了 本次只对数据源的配置进行配置加密解密操作其他配置项可以使用自定义加解密方式实现。 无加密配置联调环境问题
引入pom依赖完整如下
dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter/artifactIdversion2.1.4.RELEASE/version
/dependency
dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-web/artifactIdversion2.1.4.RELEASE/version
/dependency
dependencygroupIdorg.projectlombok/groupIdartifactIdlombok/artifactIdversion1.16.20/version
/dependency
!-- swagger --
!-- swagger配置等注解 --
dependencygroupIdio.springfox/groupIdartifactIdspringfox-swagger2/artifactIdversion2.4.0/version
/dependency
!-- swagger 在线显示web --
dependencygroupIdio.springfox/groupIdartifactIdspringfox-swagger-ui/artifactIdversion2.4.0/version
/dependency
dependencygroupIdcom.github.xiaoymin/groupIdartifactIdswagger-bootstrap-ui/artifactIdversion1.9.6/version
/dependency
!-- fastjson --
dependencygroupIdcom.alibaba/groupIdartifactIdfastjson/artifactIdversion1.2.83/version
/dependency
dependencygroupIdorg.slf4j/groupIdartifactIdslf4j-api/artifactIdversion1.7.26/version
/dependency
dependencygroupIdorg.slf4j/groupIdartifactIdslf4j-log4j12/artifactIdversion1.7.26/version
/dependencydependencygroupIdcom.baomidou/groupIdartifactIddynamic-datasource-spring-boot-starter/artifactIdversion3.6.1/version
/dependency
dependencygroupIdmysql/groupIdartifactIdmysql-connector-java/artifactId
/dependencydependencygroupIdcom.baomidou/groupIdartifactIdmybatis-plus-boot-starter/artifactIdversion3.4.0/version
/dependency
!-- Wrappers 链式语法 --
dependencygroupIdcom.baomidou/groupIdartifactIdmybatis-plus-core/artifactIdversion3.4.0/versionscopecompile/scope
/dependency
dependencygroupIdjunit/groupIdartifactIdjunit/artifactIdscopetest/scope
/dependency
dependencygroupIdorg.springframework/groupIdartifactIdspring-test/artifactIdscopetest/scope
/dependency
dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-test/artifactIdscopetest/scope
/dependency其中核心点
dependencygroupIdcom.baomidou/groupIdartifactIddynamic-datasource-spring-boot-starter/artifactIdversion3.6.1/version
/dependency
dependencygroupIdmysql/groupIdartifactIdmysql-connector-java/artifactId
/dependencydependencygroupIdcom.baomidou/groupIdartifactIdmybatis-plus-boot-starter/artifactIdversion3.4.0/version
/dependency
!-- Wrappers 链式语法 --
dependencygroupIdcom.baomidou/groupIdartifactIdmybatis-plus-core/artifactIdversion3.4.0/versionscopecompile/scope
/dependency数据源配置
server:port: 80
spring:datasource:dynamic:datasource:xiangjiao:url: jdbc:mysql://xxx:3306/flyway?useSSLfalseuseUnicodetruecharacterEncodingutf-8serverTimezoneGMT%2B8username: rootpassword: rootdriver-class-name: com.mysql.cj.jdbc.Driver # 3.2.0开始支持SPI可省略此配置primary: xiangjiao # 主连接strict: false #严格匹配数据源,默认false. true未匹配到指定数据源时抛异常,false使用默认数据源编写调试查询接口
import cn.xj.model.CommonResult;
import cn.xj.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;RestController
RequestMapping(/test1)
public class TestController {AutowiredUserService userServiceImpl;GetMapping(/test1)public CommonResultString test1(Integer id){return CommonResult.success(userServiceImpl.test1(id));}
}服务层
import cn.xj.dao.UserMapper;
import cn.xj.model.Users;
import com.baomidou.mybatisplus.core.toolkit.Wrappers;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;
import java.util.List;Service
public class UserService {AutowiredUserMapper userMapper;public String test1(Integer id){ListUsers users userMapper.selectList(Wrappers.lambdaQuery(Users.class).eq(Users::getUserId,id));Users users1 users.get(0);return users1.getUserName();}
}dao层
import cn.xj.model.Users;
import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import org.apache.ibatis.annotations.Mapper;
import org.springframework.stereotype.Repository;Mapper
Repository
public interface UserMapper extends BaseMapperUsers {
}请求测试 http://localhost/test1/test1?id2 加密数据源配置
和SpringCloud 第一代中的{cipher}标识一样dynamic datasource当然也需要一个标识用来区分加密和不加密的配置内容默认使用ENC(xxxxx)区别。 在3.5.0版本开始可以自定义配置这个等会再说。 dynamic-datasource支持对数据源配置的url、username、password进行加密配置。加密的方法可以参考下面的代码。
import com.baomidou.dynamic.datasource.toolkit.CryptoUtils;public class Demo {public static void main(String[] args) throws Exception {String password root;//使用默认的publicKey 建议还是使用下面的自定义String encodePassword CryptoUtils.encrypt(password);System.out.println(encodePassword);}//自定义publicKeypublic static void main(String[] args) throws Exception {String[] arr CryptoUtils.genKeyPair(512);System.out.println(privateKey: arr[0]);System.out.println(publicKey: arr[1]);System.out.println(url: CryptoUtils.encrypt(arr[0], jdbc:mysql://127.0.0.1:3306/order));System.out.println(username: CryptoUtils.encrypt(arr[0], root));System.out.println(password: CryptoUtils.encrypt(arr[0], 123456));}
}对上面无加密的数据信息进行加密加密后的yml配置如下所示 注意 加密后的密文在配置前需要增加标识。 server:port: 80
spring:datasource:dynamic:datasource:xiangjiao:url: jdbc:mysql://xxxx:3306/flyway?useSSLfalseuseUnicodetruecharacterEncodingutf-8serverTimezoneGMT%2B8username: ENC(VZamSTMi224AH6RUtJGXNldiDp/XEL2ozRhBUu/o9ChodT4JEb9kE/j0EFhXKbjsfvLVacUW0AUzetA6OrNJug)password: ENC(VZamSTMi224AH6RUtJGXNldiDp/XEL2ozRhBUu/o9ChodT4JEb9kE/j0EFhXKbjsfvLVacUW0AUzetA6OrNJug)driver-class-name: com.mysql.cj.jdbc.Driver # 3.2.0开始支持SPI可省略此配置primary: xiangjiao # 主连接strict: false #严格匹配数据源,默认false. true未匹配到指定数据源时抛异常,false使用默认数据源再次重启项目测试
原理探究
在dynamic-datasource中的com.baomidou.dynamic.datasource.event.EncDataSourceInitEvent中定义了正则表达式当识别到密文用ENC(xxx)包装时会触发解析明文操作进行数据配置的还原与包装。 当然这里可以自定义其他加密方式只需要按照官方源码中的例子定义解析类然后注入到spring容器中如下 这里的ConditionalOnMissingBean注解起了关键性的作用。 如果不存在DataSourceInitEvent对象的实例bean才会注入官方默认的EncDataSourceInitEvent实例 自定义加密解密器实现数据源加密解密配置
下面以CCM加密解密作为一个自定义操作。
导入CCM所需要的jar包。 并加载至当前项目中。
编写CCM加密解密的工具类。
import org.bouncycastle.jce.provider.BouncyCastleProvider;import javax.crypto.Cipher;
import javax.crypto.spec.GCMParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import javax.xml.bind.DatatypeConverter;
import java.security.Security;public class CcmUtils {static byte[] keyBytes {0x01,0x02,0x03,0x04,0x05,0x06,0x07,0x08,0x09,0x10,0x11,0x12,0x13,0x14,0x15,0x16};static byte[] nonce {a,b,c,d,e,f,g,h,i,j,k,l};public static void main(String[] args) throws Exception {byte[] bytes root.getBytes();System.out.println(new String(bytes,utf-8)); // rootString s DatatypeConverter.printHexBinary(bytes);System.out.println(s); // 726F6F74// 加密byte[] roots encrypt(root);// 3914D177814A01A1String s1 DatatypeConverter.printHexBinary(roots);// 解密String decrypt decrypt(s1);System.out.println(decrypt);}// 加密public static byte[] encrypt(String str) throws Exception {Security.addProvider(new BouncyCastleProvider());//32 mac 4字节 32位GCMParameterSpec parameterSpec new GCMParameterSpec(32, nonce);Cipher cipher Cipher.getInstance(AES/CCM/NoPadding);SecretKeySpec secretKeySpec new SecretKeySpec(keyBytes, AES);cipher.init(Cipher.ENCRYPT_MODE, secretKeySpec, parameterSpec);System.out.println(DatatypeConverter.printHexBinary(cipher.doFinal(str.getBytes())));return cipher.doFinal(str.getBytes());}// 解密public static String decrypt(String str) throws Exception {Security.addProvider(new BouncyCastleProvider());//32 mac 4字节 32位GCMParameterSpec parameterSpec new GCMParameterSpec(32, nonce);Cipher cipher Cipher.getInstance(AES/CCM/NoPadding);SecretKeySpec secretKeySpec new SecretKeySpec(keyBytes, AES);cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, parameterSpec);// String 转 十六进制的 数组// 3914D177814A01A1 - 0x39,0x14byte[] cipStr HexString2Bytes(str);System.out.println(DatatypeConverter.printHexBinary(cipher.doFinal(cipStr)));return new String(cipher.doFinal(cipStr),utf-8);}// 十六进制字符串 转 十六进制 byte 数组public static byte[] HexString2Bytes(String src) {byte[] ret new byte[src.length() / 2];byte[] tmp src.getBytes();for (int i 0; i tmp.length / 2; i) {ret[i] uniteBytes(tmp[i * 2], tmp[i * 2 1]);}return ret;}public static byte uniteBytes(byte src0, byte src1) {byte _b0 Byte.decode(0x new String(new byte[] { src0 })).byteValue();_b0 (byte) (_b0 4);byte _b1 Byte.decode(0x new String(new byte[] { src1 })).byteValue();byte ret (byte) (_b0 ^ _b1);return ret;}// 十六进制的byte数组 转 十六进制字符串public static String bytesToHex(byte[] bytes) {StringBuilder sb new StringBuilder();for (byte b : bytes) {sb.append(String.format(%02x, b));}return sb.toString();}
}root 加密后的字符串如下 3914D177814A01A1 编写新的配置密文解析器并定义加密头标识CCM(xxxx)。
import cn.xj.util.CcmUtils;
import com.baomidou.dynamic.datasource.event.DataSourceInitEvent;
import com.baomidou.dynamic.datasource.spring.boot.autoconfigure.DataSourceProperty;
import lombok.extern.slf4j.Slf4j;
import org.springframework.util.StringUtils;import javax.sql.DataSource;
import java.util.regex.Matcher;
import java.util.regex.Pattern;Slf4j
public class CcmDataSourceInitEvent implements DataSourceInitEvent {/*** 自定义标识*/private static final Pattern ENC_PATTERN Pattern.compile(^CCM\\((.*)\\)$);Overridepublic void beforeCreate(DataSourceProperty dataSourceProperty) {String publicKey dataSourceProperty.getPublicKey();if (StringUtils.hasText(publicKey)) {dataSourceProperty.setUrl(decrypt(dataSourceProperty.getUrl()));dataSourceProperty.setUsername(decrypt( dataSourceProperty.getUsername()));dataSourceProperty.setPassword(decrypt(dataSourceProperty.getPassword()));}}Overridepublic void afterCreate(DataSource dataSource) {}/*** 字符串解密*/private String decrypt(String cipherText) {if (StringUtils.hasText(cipherText)) {Matcher matcher ENC_PATTERN.matcher(cipherText);if (matcher.find()) {try {return CcmUtils.decrypt(matcher.group(1));} catch (Exception e) {log.error(DynamicDataSourceProperties.decrypt error , e);}}}return cipherText;}
}修改配置文件如下所示
server:port: 80
spring:datasource:dynamic:datasource:xiangjiao:url: jdbc:mysql://xxxx:3306/flyway?useSSLfalseuseUnicodetruecharacterEncodingutf-8serverTimezoneGMT%2B8username: CCM(3914D177814A01A1)password: CCM(3914D177814A01A1)driver-class-name: com.mysql.cj.jdbc.Driver # 3.2.0开始支持SPI可省略此配置primary: xiangjiao # 主连接strict: false #严格匹配数据源,默认false. true未匹配到指定数据源时抛异常,false使用默认数据源重启项目访问请求测试能否查询到对应的数据 文章转载自: http://www.morning.nzfqw.cn.gov.cn.nzfqw.cn http://www.morning.jcbjy.cn.gov.cn.jcbjy.cn http://www.morning.rglp.cn.gov.cn.rglp.cn http://www.morning.nlrp.cn.gov.cn.nlrp.cn http://www.morning.nsfxt.cn.gov.cn.nsfxt.cn http://www.morning.dswtz.cn.gov.cn.dswtz.cn http://www.morning.nzfjm.cn.gov.cn.nzfjm.cn http://www.morning.qxltp.cn.gov.cn.qxltp.cn http://www.morning.wxckm.cn.gov.cn.wxckm.cn http://www.morning.hkpyp.cn.gov.cn.hkpyp.cn http://www.morning.whnps.cn.gov.cn.whnps.cn http://www.morning.yqndr.cn.gov.cn.yqndr.cn http://www.morning.fgkrh.cn.gov.cn.fgkrh.cn http://www.morning.blfgh.cn.gov.cn.blfgh.cn http://www.morning.mngyb.cn.gov.cn.mngyb.cn http://www.morning.rzmlc.cn.gov.cn.rzmlc.cn http://www.morning.fqyqm.cn.gov.cn.fqyqm.cn http://www.morning.brjq.cn.gov.cn.brjq.cn http://www.morning.qqnjr.cn.gov.cn.qqnjr.cn http://www.morning.jtybl.cn.gov.cn.jtybl.cn http://www.morning.fcwb.cn.gov.cn.fcwb.cn http://www.morning.nlffl.cn.gov.cn.nlffl.cn http://www.morning.rbkl.cn.gov.cn.rbkl.cn http://www.morning.hnk25076he.cn.gov.cn.hnk25076he.cn http://www.morning.scrnt.cn.gov.cn.scrnt.cn http://www.morning.ynstj.cn.gov.cn.ynstj.cn http://www.morning.rkyw.cn.gov.cn.rkyw.cn http://www.morning.wdpt.cn.gov.cn.wdpt.cn http://www.morning.jgykx.cn.gov.cn.jgykx.cn http://www.morning.lksgz.cn.gov.cn.lksgz.cn http://www.morning.nkkpp.cn.gov.cn.nkkpp.cn http://www.morning.qqrqb.cn.gov.cn.qqrqb.cn http://www.morning.wcrcy.cn.gov.cn.wcrcy.cn http://www.morning.wbysj.cn.gov.cn.wbysj.cn http://www.morning.pyncm.cn.gov.cn.pyncm.cn http://www.morning.grfhd.cn.gov.cn.grfhd.cn http://www.morning.rnmdp.cn.gov.cn.rnmdp.cn http://www.morning.nssjy.cn.gov.cn.nssjy.cn http://www.morning.kkrnm.cn.gov.cn.kkrnm.cn http://www.morning.zwznz.cn.gov.cn.zwznz.cn http://www.morning.pcshb.cn.gov.cn.pcshb.cn http://www.morning.tgxrm.cn.gov.cn.tgxrm.cn http://www.morning.gxhqt.cn.gov.cn.gxhqt.cn http://www.morning.zdmlt.cn.gov.cn.zdmlt.cn http://www.morning.qbfs.cn.gov.cn.qbfs.cn http://www.morning.ljdjn.cn.gov.cn.ljdjn.cn http://www.morning.bbtn.cn.gov.cn.bbtn.cn http://www.morning.cqrenli.com.gov.cn.cqrenli.com http://www.morning.zrlwl.cn.gov.cn.zrlwl.cn http://www.morning.sfcfy.cn.gov.cn.sfcfy.cn http://www.morning.qphcq.cn.gov.cn.qphcq.cn http://www.morning.skrh.cn.gov.cn.skrh.cn http://www.morning.cxsdl.cn.gov.cn.cxsdl.cn http://www.morning.qgmwt.cn.gov.cn.qgmwt.cn http://www.morning.ckcjq.cn.gov.cn.ckcjq.cn http://www.morning.fmdvbsa.cn.gov.cn.fmdvbsa.cn http://www.morning.dbrdg.cn.gov.cn.dbrdg.cn http://www.morning.wkcl.cn.gov.cn.wkcl.cn http://www.morning.burpgr.cn.gov.cn.burpgr.cn http://www.morning.kltsn.cn.gov.cn.kltsn.cn http://www.morning.nd-test.com.gov.cn.nd-test.com http://www.morning.npbgj.cn.gov.cn.npbgj.cn http://www.morning.tkyry.cn.gov.cn.tkyry.cn http://www.morning.zxznh.cn.gov.cn.zxznh.cn http://www.morning.tkhyk.cn.gov.cn.tkhyk.cn http://www.morning.dtrz.cn.gov.cn.dtrz.cn http://www.morning.rhkgz.cn.gov.cn.rhkgz.cn http://www.morning.bgygx.cn.gov.cn.bgygx.cn http://www.morning.ggnfy.cn.gov.cn.ggnfy.cn http://www.morning.bntgy.cn.gov.cn.bntgy.cn http://www.morning.nkjpl.cn.gov.cn.nkjpl.cn http://www.morning.qckwj.cn.gov.cn.qckwj.cn http://www.morning.jypqx.cn.gov.cn.jypqx.cn http://www.morning.snbq.cn.gov.cn.snbq.cn http://www.morning.rmlz.cn.gov.cn.rmlz.cn http://www.morning.gfkb.cn.gov.cn.gfkb.cn http://www.morning.nnjq.cn.gov.cn.nnjq.cn http://www.morning.tmtrl.cn.gov.cn.tmtrl.cn http://www.morning.wyjhq.cn.gov.cn.wyjhq.cn http://www.morning.fldsb.cn.gov.cn.fldsb.cn
