Spring中怎么使用加密外部属性文件

Spring中如何使用加密外部属性文件
最近看到网上有关Struts2远程访问安全的漏洞问题，不禁想到，如果项目中配置的敏感信息被黑客拿到就不好了，所以对于如配置jdbc.properties的文件里面的数据库用户名这类信息再用明文就不太安全了！虽然web应用系统的客户端用户看不到服务端的配置文件，但允许登陆到服务器的人还是很容易看到的。对于一些安全性要求较高的系统，最好采用加密！
信息的加密可分为对称和非对称两种方式，前者表示加密后的信息可以解密成原值，而后者则不能根据加密后的信息还原。MD5属于非对称加密，而DES属于对称加密，我们将使用DES对属性值进行加密；在读取到属性值时，再用DES进行解密。
下面是加密工具类

package com.demo.utils;import java.security.Key;import java.security.SecureRandom;import javax.crypto.Cipher;import javax.crypto.KeyGenerator;import sun.misc.BASE64Decoder;import sun.misc.BASE64Encoder;public class DESUtils {private static Key key;private static String KEY_STR = "key";static {try{KeyGenerator generator = KeyGenerator.getInstance("DES");generator.init(new SecureRandom(KEY_STR.getBytes()));key = generator.generateKey();generator = null;} catch (Exception e) {throw new RuntimeException(e);}}/** * 对字符串进行DES加密 * @param str * @return 返回BASE64编码的加密字符串 */public static String getEncryptString(String str) {BASE64Encoder base64en = new BASE64Encoder();try {byte[] strBytes = str.getBytes("UTF8");Cipher cipher = Cipher.getInstance("DES");cipher.init(Cipher.ENCRYPT_MODE, key);byte[] encryptStrBytes = cipher.doFinal(strBytes);return base64en.encode(encryptStrBytes);} catch (Exception e) {throw new RuntimeException(e);}}/** * 对BASE64编码的加密字符串进行解密 * @param str * @return 解密后的字符串 */public static String getDecryptString(String str){BASE64Decoder base64De = new BASE64Decoder();try {byte[] strBytes = base64De.decodeBuffer(str);Cipher cipher = Cipher.getInstance("DES");cipher.init(Cipher.DECRYPT_MODE, key);byte[] decryptStrBytes = cipher.doFinal(strBytes);return new String(decryptStrBytes, "UTF8");} catch (Exception e) {throw new RuntimeException(e);}}public static void main(String[] args) {String str = "abcd";System.out.println(DESUtils.getEncryptString(str));String enStr = "BhykG14EE7o=";System.out.println(DESUtils.getDecryptString(enStr));}}

在Spring中利用PropertyPlaceholderConfigurer进行解密，PropertyPlaceholderConfigurer本身不支持解密，通过扩展，覆盖String convertProperty(String propertyName, String ropertyValue)方法，对用户名和密码的属性时行解密

public class DemoPropertyPlaceholderConfigurer extends PropertyPlaceholderConfigrer {protected String converProperty(String propertyName, String propertyValue) {if() { //属性是用户名或密码String decryptValue = DESUtils.getDecryptString(propertyValue);return decryptValue;} else {return propertyValue;}}}

将其配置到Spring配置文件里，如：

<bean p:location="classpath:jdbc.properties" p:fileEncoding="utf-8" />

ps; BASE64Encoder 加密找不到jar包解决办法请参考 http://yzhw.iteye.com/blog/1700778

查看更多 下一篇