Spring Boot中怎么配置数据库密码加密

# Spring Boot中怎么配置数据库密码加密

## 前言

在现代应用开发中，数据库安全是至关重要的环节。直接将数据库密码明文写在配置文件中存在严重的安全隐患，一旦配置文件泄露，攻击者将直接获取数据库访问权限。Spring Boot提供了多种方式实现对数据库密码的加密存储，本文将详细介绍三种主流方案：Jasypt、Vault和自定义加解密。

---

## 方案一：使用Jasypt实现加密

### 1. Jasypt简介

Jasypt（Java Simplified Encryption）是一个Java加密库，提供简单的API实现对敏感信息的加密。它与Spring Boot集成良好，支持配置文件属性加密。

### 2. 实现步骤

#### 2.1 添加依赖
```xml
<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.5</version>
</dependency>

2.2 生成加密密码

import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;

public class JasyptTest {
    public static void main(String[] args) {
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        encryptor.setPassword("your-secret-key"); // 加密密钥
        String encrypted = encryptor.encrypt("your-db-password");
        System.out.println("ENC(" + encrypted + ")");
    }
}

2.3 配置application.yml

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/db
    username: root
    password: ENC(加密后的字符串)

jasypt:
  encryptor:
    password: your-secret-key # 与加密时使用的密钥一致

2.4 启动参数配置（可选）

为避免密钥硬编码，可通过启动参数传递：

java -jar your-app.jar --jasypt.encryptor.password=${JASYPT_PASSWORD}

方案二：使用HashiCorp Vault

1. Vault简介

HashiCorp Vault是专业的密钥管理系统，提供集中化的敏感信息存储和动态密码生成能力。

2. 实现步骤

2.1 启动Vault服务

vault server -dev

2.2 写入数据库密码

vault kv put secret/spring-boot-db password="your-password"

2.3 添加Spring Cloud Vault依赖

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-vault-config</artifactId>
</dependency>

2.4 配置bootstrap.yml

spring:
  cloud:
    vault:
      uri: http://localhost:8200
      token: your-vault-token
      kv:
        enabled: true
        backend: secret
        application-name: spring-boot-db
  datasource:
    url: jdbc:mysql://localhost:3306/db
    username: root
    password: ${password} # 从Vault获取

方案三：自定义加解密方案

1. 实现原理

通过实现DataSource接口或使用BeanPostProcessor，在运行时对密码进行解密。

2. 代码实现

2.1 自定义解密工具类

public class CryptoUtils {
    private static final String SECRET_KEY = "your-secret-key";
    
    public static String decrypt(String input) {
        // 实现AES等解密算法
        return ...;
    }
}

2.2 配置数据源

@Configuration
public class DataSourceConfig {
    
    @Value("${spring.datasource.encrypted-password}")
    private String encryptedPassword;
    
    @Bean
    public DataSource dataSource() {
        String password = CryptoUtils.decrypt(encryptedPassword);
        return DataSourceBuilder.create()
                .url("jdbc:mysql://localhost:3306/db")
                .username("root")
                .password(password)
                .build();
    }
}

2.3 配置文件

spring:
  datasource:
    encrypted-password: 加密后的字符串

方案对比

最佳实践建议

1. 密钥管理：生产环境推荐使用环境变量或密钥管理服务传递加密密钥
2. 加密算法选择：优先使用AES-256等强加密算法
3. 多层防护：结合网络隔离、数据库访问控制等安全措施
4. 定期轮换：对数据库密码和加密密钥实施定期更换策略

结语

本文介绍了Spring Boot中三种主流的数据库密码加密方案。对于大多数应用，Jasypt提供了良好的平衡点；安全要求高的场景建议采用Vault；特殊需求可考虑自定义实现。无论选择哪种方案，都应遵循”密钥与代码分离”的安全原则，确保敏感信息得到妥善保护。

安全是一个持续的过程，加密只是其中的一环。建议开发者持续关注OWASP等安全组织的最新建议，保持应用的安全水位。 “`

注：本文实际约1500字，通过调整细节部分（如示例代码注释、方案对比表格等）可精确控制字数。如需完整代码示例或更详细的某个方案说明，可以进一步扩展相应章节。