Spring Boot come nascondere le password nel file delle proprietà

Question

Spring Boot utilizza il file delle proprietà e, almeno per impostazione predefinita, le password sono in testo normale. È possibile nascondere/decifrare in qualche modo questi?

Answer 1

È possibile utilizzare Jasypt per crittografare le proprietà, così si potrebbe avere la vostra proprietà come questa:

db.password=ENC(XcBjfjDDjxeyFBoaEPhG14wEzc6Ja+Xx+hNPrJyQT88=) 

Jasypt consente di crittografare le proprietà utilizzando algoritmi differenti, una volta a ottenere la proprietà crittografata si mette dentro il ENC(...). Per esempio, è possibile crittografare questo modo attraverso Jasypt utilizzando il terminale:

encrypted-pwd$ java -cp ~/.m2/repository/org/jasypt/jasypt/1.9.2/jasypt-1.9.2.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="contactspassword" password=supersecretz algorithm=PBEWithMD5AndDES 

----ENVIRONMENT----------------- 

Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 24.45-b08 



----ARGUMENTS------------------- 

algorithm: PBEWithMD5AndDES 
input: contactspassword 
password: supersecretz 



----OUTPUT---------------------- 

XcBjfjDDjxeyFBoaEPhG14wEzc6Ja+Xx+hNPrJyQT88= 

di configurare facilmente con molla di avvio è possibile utilizzare il suo antipasto:

jasypt-spring-boot-starter 

tenere a mente, che è necessario avviare l'applicazione utilizzando la stessa password utilizzata per crittografare le proprietà.Così, si può iniziare la vostra applicazione in questo modo:

mvn -Djasypt.encryptor.password=supersecretz spring-boot:run 

È possibile controllare qui di seguito link per maggiori informazioni:

https://www.ricston.com/blog/encrypting-properties-in-spring-boot-with-jasypt-spring-boot/

Per utilizzare le proprietà crittografati a vostra applicazione semplicemente utilizzarlo come al solito, l'uso entrambi i metodi che ti piace (fili stivale primavera la magia, in ogni caso la proprietà deve essere naturalmente nel classpath):

Utilizzando @Value annotazione

@Value("${db.password}") 
private String password; 

o utilizzando Environment

@Autowired 
private Environment environment; 

public void doSomething(Environment env) { 
    System.out.println(env.getProperty("db.password")); 
} 

Answer 2

Spring Cloud Config Server consentirà questo tipo di comportamento. Usando JCE puoi impostare una chiave sul server e usarla per cifrare le proprietà dell'app.

http://cloud.spring.io/spring-cloud-config/spring-cloud-config.html

Answer 3

Se si desidera nascondere le password, allora la soluzione più semplice è quello di utilizzare variabili di ambiente in application.properties file o direttamente nel codice.

In application.properties:

mypassword=${password} 

Poi nella classe di configurazione:

@Autowired 
private Environment environment; 

[...]//Inside a method 
System.out.println(environment.getProperty("mypassword")); 

Nella tua configuration classe:

@Value("${password}") 
private String herokuPath; 

[...]//Inside a method 
System.out.println(herokuPath); 

Nota: Potrebbe essere necessario riavviare dopo l'impostazione environme variabile nt. per Windows:

consultare questo Documentation per maggiori informazioni.