精通Java系列|项目配置不当引发了数据泄露，人已裂开！！（建议收藏）程序员|信息安全|项目配置|后

大家好，我是冰河~~
最近，有位读者私信我说，他们公司的项目中配置的数据库密码没有加密，编译打包后的项目被人反编译了，从项目中成功获取到数据库的账号和密码，进一步登录数据库获取了相关的数据，并对数据库进行了破坏。虽然这次事故影响的范围不大，但是这足以说明很多公司对于项目的安全性问题重视程度不够。
如果文章对你有点帮助，小伙伴们点赞，收藏，评论，分享，走起呀~~
数据泄露缘由由于Java项目的特殊性，打包后的项目如果没有做代码混淆，配置文件中的重要配置信息没有做加密处理的话，一旦打包的程序被反编译后，很容易获得这些敏感信息，进一步对项目或者系统造成一定的损害。所以，无论是公司层面还是开发者个人，都需要对项目的安全性有所重视。
今天，我们就一起来聊聊如何在项目中加密数据库密码，尽量保证数据库密码的安全性。本文中，我使用的数据库连接池是阿里开源的Druid。
数据库密码加密配置数据库连接池
这里，我就简单的使用xml配置进行演示，当然小伙伴们也可以使用Spring注解方式，或者使用SpringBoot进行配置。

其中要注意的是：我在配置文件中进行了如下配置。

生成RSA密钥
使用RSA公钥和私钥，生成一对公钥和私钥的工具类如下所示。

package com.binghe.crypto.rsa; import java.security.Key; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.security.interfaces.RSAPrivateKey; import java.security.interfaces.RSAPublicKey; import java.util.HashMap; import java.util.Map; import sun.misc.BASE64Decoder; import sun.misc.BASE64Encoder; /** * 算法工具类 * @author binghe */ public class RSAKeysUtil { public static final String KEY_ALGORITHM = "RSA"; public static final String SIGNATURE_ALGORITHM = "MD5withRSA"; private static final String PUBLIC_KEY = "RSAPublicKey"; private static final String PRIVATE_KEY = "RSAPrivateKey"; public static void main(String[] args) {Map keyMap; try {keyMap = initKey(); String publicKey = getPublicKey(keyMap); System.out.println(publicKey); String privateKey = getPrivateKey(keyMap); System.out.println(privateKey); } catch (Exception e) {e.printStackTrace(); } } public static String getPublicKey(Map keyMap) throws Exception {Key key = (Key) keyMap.get(PUBLIC_KEY); byte[] publicKey = key.getEncoded(); return encryptBASE64(key.getEncoded()); } public static String getPrivateKey(Map keyMap) throws Exception {Key key = (Key) keyMap.get(PRIVATE_KEY); byte[] privateKey = key.getEncoded(); return encryptBASE64(key.getEncoded()); } public static byte[] decryptBASE64(String key) throws Exception {return (new BASE64Decoder()).decodeBuffer(key); } public static String encryptBASE64(byte[] key) throws Exception {return (new BASE64Encoder()).encodeBuffer(key); } public static Map initKey() throws Exception {KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM); keyPairGen.initialize(1024); KeyPair keyPair = keyPairGen.generateKeyPair(); RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic(); RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate(); Map keyMap = new HashMap(2); keyMap.put(PUBLIC_KEY, publicKey); keyMap.put(PRIVATE_KEY, privateKey); return keyMap; } }

运行这个类，输出的结果如下：

文章图片

在输出的结果信息中，上边是公钥下边是私钥。
对密码进行加密
使用私钥对明文密码进行加密，示例代码如下所示。

package com.binghe.dbsource.demo; import com.alibaba.druid.filter.config.ConfigTools; /** * 使用密钥加密数据库密码的代码示例 * @author binghe */ public class ConfigToolsDemo { /** * 私钥对数据进行加密 */ private static final String PRIVATE_KEY_STRING = "MIICdgIBADANBgkqhkiG9w0BAQEFAASCAmAwggJcAgEAAoGBAKtq3IJP5idDXZjML6I8HTAl0htWZSOO43LhZ/+stsIG50WsuW0UJ2vdrEtjvTEfJxP6N1VNrbsF9Lrsp6A4AyUwx00ZUueTlbUaX60134Di0IdQ3C4RTt5mPIbF3hUKers8csltgYR4fByvR3Eq4lt+jAolVHKmyzufukH3d3vJAgMBAAECgYBXiyW+r4t9NdxRMsaI9mZ5tncNWxwgAtOKUi/I1a4ofVoTrVitqoNPhVB+2BtBQQW2IC2uNROq1incZQxeuPxxZJgz1lnnZyHvDE3wuMZAGTcalID+5xBZ2j6fBtDnxbfIL/tIfGJrX+0mUXP2LIo242yQIlzr7RV60iuE2Ms54QJBAOqE0ycvztfxubqBWO7l8PsS3qDUv9lLBBO/Q8I+qVl4tzh+SD/13BqLuaj9eWPGPyml+faWtbmuQgBqauT23l0CQQC7HmMC0CgZS6taQxmPkXzw0XhxZ7tBZeLWl87hqc2S79P0BPX9kPukiC4LpA5xyz0CZ5azJXd2EwRsxF32GERdAkASEi4bJOnxZeUD5BewQPOyxR92kS4/VjJ4OxLDkwSFqnGj3sc+dnmBaibiSLXj5FDVqr56K97Q8gaP9aNLBWLZAkEAjwGnPBQoQUTinaZgl6fibA47VbiolU+v8L+u3iqvMVhXjcxo0DUJDXMCdeUZIQDqDLdsplfBGB1qqVHeWeGsBQJAXGNe2I510WLjMdn+olhi5ZjMr4F4oiF8TAE1Uu74FWn0sc418E7ScgXPCgpGVK0QaXo2wtDeMIoxJwm9Zh8oyg=="; public static void main(String[] args) throws Exception {//密码明文，也就是数据库的密码 String plainText = "root"; System.out.printf(ConfigTools.encrypt(PRIVATE_KEY_STRING, plainText)); } }

运行上述代码示例，结果如下所示。

文章图片

然后将数据库配置的链接密码改为这个输出结果如下：

jdbc.username=root jdbc.password=EA9kJ8NMV8zcb5AeLKzAsL/8F1ructRjrqs69zM70BwDyeMtxuEDEVe9CBeRgZ+qEUAshhWGEDk9ay3TLLKrf2AOE3VBn+w8+EfUIEXFy8u3jYViHeV8yc8Z7rghdFShhd/IJbjqbsro1YtB9pHrl4EpbCqp7RM2rZR/wJ0WN48=

编写解析数据库密码的类

package com.binghe.dbsource; import java.util.Properties; import com.alibaba.druid.filter.config.ConfigTools; import com.alibaba.druid.util.DruidPasswordCallback; /** * 数据库密码回调 * @author binghe */ public class DBPasswordCallback extends DruidPasswordCallback { private static final long serialVersionUID = -4601105662788634420L; /** * password的属性 */ private static final String DB_PWD = "password"; /** * 数据对应的公钥 */ public static final String PUBLIC_KEY_STRING = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCratyCT+YnQ12YzC+iPB0wJdIbVmUjjuNy4Wf/rLbCBudFrLltFCdr3axLY70xHycT+jdVTa27BfS67KegOAMlMMdNGVLnk5W1Gl+tNd+A4tCHUNwuEU7eZjyGxd4VCnq7PHLJbYGEeHwcr0dxKuJbfowKJVRypss7n7pB93d7yQIDAQAB"; @Override public void setProperties(Properties properties) {super.setProperties(properties); String pwd = properties.getProperty(DB_PWD); if (pwd != null && !"".equals(pwd.trim())) {try {//这里的password是将jdbc.properties配置得到的密码进行解密之后的值 //所以这里的代码是将密码进行解密 //TODO 将pwd进行解密; String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd); setPassword(password.toCharArray()); } catch (Exception e) {setPassword(pwd.toCharArray()); } } } }

这里DBPasswordCallback类，就是在配置文件中配置的DBPasswordCallback类，如下所示。

【精通Java系列|项目配置不当引发了数据泄露，人已裂开！！（建议收藏）】其中PasswordCallback是javax.security.auth.callback包下面的，底层安全服务实例化一个 PasswordCallback 并将其传递给 CallbackHandler 的 handle 方法，以获取密码信息。
当然，除了使用上述的方式，自己也可以对应一套加解密方法，只需要将

DBPasswordCallback的 String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd);

替换即可。
另外，在编写解析数据库密码的类时，除了可以继承阿里巴巴开源的Druid框架中的DruidPasswordCallback类外，还可以直接继承自Spring提供的PropertyPlaceholderConfigurer类，如下所示。

public class DecryptPropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer{/** * 重写父类方法，解密指定属性名对应的属性值 */ @Override protected String convertProperty(String propertyName,String propertyValue){if(isEncryptPropertyVal(propertyName)){return DesUtils.getDecryptString(propertyValue); //调用解密方法 }else{return propertyValue; } } /** * 判断属性值是否需要解密，这里我约定需要解密的属性名用encrypt开头 */ private boolean isEncryptPropertyVal(String propertyName){if(propertyName.startsWith("encrypt")){return true; }else{return false; } } }

此时，就需要将xml文件中的如下配置

修改为下面的配置。

到此，在项目中对数据库密码进行加密和解析的整个过程就完成了。
写在最后如果你想进大厂，想升职加薪，或者对自己现有的工作比较迷茫，都可以私信我交流，希望我的一些经历能够帮助到大家~~
推荐阅读：