实现SpringBoot项目中Apollo配置的动态解密

img

简介

公司的配置中心用的是Apollo,在使用过程中,有将一些敏感配置数据进行加密存储的需求,这样就需要后台实现动态解密了,具体实现过程记录在这里

核心实现

引入maven依赖

1
2
3
4
5
6
7
8
9
10
11
12
<!-- 实现加解密-->
<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>2.0.0</version>
</dependency>
<!-- 用于配合事件机制动态更新属性值-->
<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-context</artifactId>
    <version>3.0.1</version>
</dependency>

定义监听类

定义监听类,用于监听到Apollo配置改动时,触发EnvironmentChangeEvent事件,动态更新配置:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
@Component
public class ApolloChangeListener implements ApplicationContextAware {
    private static final FusionLogger logger = FusionLoggerManager.getLogger(ApolloChangeListener.class);
    private ApplicationContext applicationContext;
    private final RefreshScope refreshScope;

    public ApolloChangeListener(RefreshScope refreshScope) {
        this.refreshScope = refreshScope;
    }

    /**
     * 实时监听配置修改,并对修改项进行处理
     *
     * @param changeEvent 配置修改事件(其中包含修改信息)
     */
    @ApolloConfigChangeListener("${apollo.bootstrap.namespaces}")
    private void configChangeHandler(ConfigChangeEvent changeEvent) {
        logger.info("================Apollo auto refresh start===========================");
        for (String changedKey : changeEvent.changedKeys()) {
            ConfigChange configChange = changeEvent.getChange(changedKey);
            String oldValue = configChange.getOldValue();
            String newValue = configChange.getNewValue();
            logger.info("changedKey:{},oldValue:{}, newValue:{}", changedKey, oldValue, newValue);
        }
        refreshContext(changeEvent);
        logger.info("================Apollo auto refresh end===========================");
    }

    /**
     * 跟进配置修改刷新上下文内容
     *
     * @param changeEvent 配置修改事件(其中包含修改信息)
     */
    public void refreshContext(ConfigChangeEvent changeEvent) {
        this.applicationContext.publishEvent(new EnvironmentChangeEvent(changeEvent.changedKeys()));
        refreshScope.refreshAll();
    }

    @Override
    public void setApplicationContext(ApplicationContext applicationContext) throws BeansException {
        this.applicationContext = applicationContext;
    }
}

使用方式

生成加密串

调用如下工具类中的encrypt方法生成需要的加密串,这里需要传入待加密串和盐值作为参数,最后输出的即为加密串:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
public class JasyptUtil {
    /**
     * 加密
     * @param data
     * @param salt
     * @return
     */
    public static String encrypt(String data, String salt){
        if (StringUtils.isBlank(data) || StringUtils.isBlank(salt)) {
            return data;
        }
        String encryptData;
        try {
            BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
            textEncryptor.setPassword(salt);
            encryptData = textEncryptor.encrypt(data);
        } catch (Exception e) {
            throw new ServiceException("加密失败, msg:{}", e);
        }
        return encryptData;
    }

    /**
     * 解密
     * @param data
     * @param salt
     * @return
     */
    public static String decrypt(String data, String salt) {
        if (StringUtils.isBlank(data) || StringUtils.isBlank(salt)) {
            return data;
        }
        String decryptData;
        try {
            BasicTextEncryptor textEncryptor = new BasicTextEncryptor();
            textEncryptor.setPassword(salt);
            decryptData = textEncryptor.decrypt(data);
        } catch (Exception e) {
            throw new ServiceException("解密失败, msg:{}", e);
        }
        return decryptData;
    }
    /**
     * 测试生成加串
     */
    public static void main(String[] args) {
        String encryptValue = JasyptUtil.encrypt("12345678", "yourSaltValue");
        System.out.println(encryptValue);
    }
}

Apollo中增加配置

将需要解密的串用ENC()包裹,例如下面的test.password:

1
2
test.name = hello
test.password = ENC(LVeJkBZPAvYO3Vwk6i/ehZEtyWdgSD14)

自定义配置类

需要动态更新的配置,在定义时需要在类上加上@ConfigurationProperties注解,例如

1
2
3
4
5
6
7
8
9
import org.springframework.boot.context.properties.ConfigurationProperties;

@Data
@Component
@ConfigurationProperties(prefix = "test")
public class TestConfigBean {
    private String name;
    private String password;
}

应用启动时传入解密盐值

1
-Djasypt.encryptor.password=yourSaltValue

总结

我个人认为配置中心一般都在公司内网环境中,如果没有特殊原因,没必要进行配置的加密,因为这将带来如下一些缺点:

  • 1、增加定义配置时的复杂性

  • 2、密钥一变,所有配置都报错,要去把所有配置都改一遍

  • 3、加密值个别位复制或者输入错误的情况下,开发和维护人员无法快速直观的发现差异

话说回来,存在即合理,对系统配置的安全性加深一层保障也是一定意义的。
好记性不如烂笔头,这里记录一下这种方案的实现方式,方便查询。

本文作者: 夏军谊
本文链接: https://www.xiajunyi.com/pages/p81.html
版权声明:本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。转载请注明出处!

打赏看心情,只愿有帮助

支付宝
微信

扫一扫,分享到微信

微信分享二维码
欢迎来到评论区

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

<center>我是一个不甘平庸的码农,我相信知识改变命运,努力带来成功!</center>