SpringBoot2配置HikariCP连接池的密码保护
本文讨论如何保护SpringBoot配置文件中的数据库连接信息,一般情况下application.properties里会如下配置DataSource:
1 spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver 2 spring.datasource.url=jdbc:mysql://127.0.0.1:3306/db 3 spring.datasource.username=USERNAME 4 spring.datasource.password=PASSWORD
其中密码明文保存是很大的安全风险,需要在配置文件中以密文方式存储密码,然后连接池组件初始化时解密得到明文密码再使用。SpringBoot 2.X开始默认使用HikariCP作为数据连接池,HikariCP没有内置的加解密模块,需要我们自己实现,原理其实很简单,application.properties中没有配置spring.datasource.type,其默认值为com.zaxxer.hikari.HikariDataSource,我们只需要替换为自己的数据源即可。
从HikariDataSource继承一个自己的数据源:
1 package com.test.dao; 2 3 import com.zaxxer.hikari.HikariDataSource; 4 5 /** 6 * 支持自定义密码加解密的数据源 7 */ 8 public class EncHikariDataSource extends HikariDataSource { 9 10 @Override 11 public String getPassword() { 12 //得到application.properties中的密文密码 13 String password = super.getPassword(); 14 15 //执行解密操作 16 //........ 17 18 //返回解密后的明文密码 19 return password; 20 } 21 }
然后指定spring.datasource.type为自己的类:
1 spring.datasource.type=com.test.dao.EncHikariDataSource #指定自己的数据源 2 spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver 3 spring.datasource.url=jdbc:mysql://127.0.0.1:3306/db 4 spring.datasource.username=USERNAME 5 spring.datasource.password=ENC(PASSWORD) #此处改为密文
至于加解密算法可以完全自己选择。如果使用的不是HikariCP,原理也类似,找到对应的DataSource并通过继承重写其中与密码获取相关的方法即可。
