偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

Springboot 配置文件、隱私數(shù)據(jù)脫敏實踐

開發(fā) 架構(gòu)
如果對脫敏概念不熟悉,可以看一下我之前寫過的一篇大廠也在用的6種數(shù)據(jù)脫敏方案,里邊對脫敏做了簡單的描述,接下來分享工作中兩個比較常見的脫敏場景。

[[414887]]

本文轉(zhuǎn)載自微信公眾號「程序員內(nèi)點事」,作者程序員內(nèi)點事。轉(zhuǎn)載本文請聯(lián)系程序員內(nèi)點事公眾號。

大家好!我是小富~

這幾天公司在排查內(nèi)部數(shù)據(jù)賬號泄漏,原因是發(fā)現(xiàn)某些實習(xí)生小可愛居然連帶著賬號、密碼將源碼私傳到GitHub上,導(dǎo)致核心數(shù)據(jù)外漏,孩子還是沒挨過社會毒打,這種事的后果可大可小。

說起這個我是比較有感觸的,之前我TM被刪庫的經(jīng)歷,到現(xiàn)在想起來心里還難受,我也是把數(shù)據(jù)庫賬號明文密碼誤提交到GitHub,然后被哪個大寶貝給我測試庫刪了,后邊我長記性了把配置文件內(nèi)容都加密了,數(shù)據(jù)安全問題真的不容小覷,不管工作匯還是生活,敏感數(shù)據(jù)一定要做脫敏處理。

如果對脫敏概念不熟悉,可以看一下我之前寫過的一篇大廠也在用的6種數(shù)據(jù)脫敏方案,里邊對脫敏做了簡單的描述,接下來分享工作中兩個比較常見的脫敏場景。

配置脫敏

實現(xiàn)配置的脫敏我使用了Java的一個加解密工具Jasypt,它提供了單密鑰對稱加密和非對稱加密兩種脫敏方式。

單密鑰對稱加密:一個密鑰加鹽,可以同時用作內(nèi)容的加密和解密依據(jù);

非對稱加密:使用公鑰和私鑰兩個密鑰,才可以對內(nèi)容加密和解密;

以上兩種加密方式使用都非常簡單,咱們以springboot集成單密鑰對稱加密方式做示例。

  1. <!--配置文件加密--> 
  2. <dependency> 
  3.     <groupId>com.github.ulisesbocchio</groupId> 
  4.     <artifactId>jasypt-spring-boot-starter</artifactId> 
  5.     <version>2.1.0</version> 
  6. </dependency> 

配置文件加入秘鑰配置項jasypt.encryptor.password,并將需要脫敏的value值替換成預(yù)先經(jīng)過加密的內(nèi)容ENC(mVTvp4IddqdaYGqPl9lCQbzM3H/b0B6l)。

這個格式我們是可以隨意定義的,比如想要abc[mVTvp4IddqdaYGqPl9lCQbzM3H/b0B6l]格式,只要配置前綴和后綴即可。

  1. jasypt: 
  2.   encryptor: 
  3.     property: 
  4.       prefix: "abc[" 
  5.       suffix: "]" 

ENC(XXX)格式主要為了便于識別該值是否需要解密,如不按照該格式配置,在加載配置項的時候jasypt將保持原值,不進行解密。

  1. spring: 
  2.   datasource: 
  3.     url: jdbc:mysql://1.2.3.4:3306/xiaofu?useSSL=false&useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&ze oDateTimeBehavior=convertToNull&serverTimezone=Asia/Shanghai 
  4.     username: xiaofu 
  5.     password: ENC(mVTvp4IddqdaYGqPl9lCQbzM3H/b0B6l) 
  6.  
  7. # 秘鑰 
  8. jasypt: 
  9.   encryptor: 
  10.     password: 程序員內(nèi)點事(然而不支持中文) 

秘鑰是個安全性要求比較高的屬性,所以一般不建議直接放在項目內(nèi),可以通過啟動時-D參數(shù)注入,或者放在配置中心,避免泄露。

  1. java -jar -Djasypt.encryptor.password=1123  springboot-jasypt-2.3.3.RELEASE.jar 

預(yù)先生成的加密值,可以通過代碼內(nèi)調(diào)用API生成

  1. @Autowired 
  2. private StringEncryptor stringEncryptor; 
  3.  
  4. public void encrypt(String content) { 
  5.     String encryptStr = stringEncryptor.encrypt(content); 
  6.     System.out.println("加密后的內(nèi)容:" + encryptStr); 

或者通過如下Java命令生成,幾個參數(shù)D:\maven_lib\org\jasypt\jasypt\1.9.3\jasypt-1.9.3.jar為jasypt核心jar包,input待加密文本,password秘鑰,algorithm為使用的加密算法。

  1. java -cp  D:\maven_lib\org\jasypt\jasypt\1.9.3\jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI input="root" password=xiaofu  algorithm=PBEWithMD5AndDES 

一頓操作后如果還能正常啟動,說明配置文件脫敏就沒問題了。

敏感字段脫敏

生產(chǎn)環(huán)境用戶的隱私數(shù)據(jù),比如手機號、身份證或者一些賬號配置等信息,入庫時都要進行不落地脫敏,也就是在進入我們系統(tǒng)時就要實時的脫敏處理。

用戶數(shù)據(jù)進入系統(tǒng),脫敏處理后持久化到數(shù)據(jù)庫,用戶查詢數(shù)據(jù)時還要進行反向解密。這種場景一般需要全局處理,那么用AOP切面來實現(xiàn)在適合不過了。

首先自定義兩個注解@EncryptField、@EncryptMethod分別用在字段屬性和方法上,實現(xiàn)思路很簡單,只要方法上應(yīng)用到@EncryptMethod注解,則檢查入?yún)⒆侄问欠駱?biāo)注@EncryptField注解,有則將對應(yīng)字段內(nèi)容加密。

  1. @Documented 
  2. @Target({ElementType.FIELD,ElementType.PARAMETER}) 
  3. @Retention(RetentionPolicy.RUNTIME) 
  4. public @interface EncryptField { 
  5.  
  6.     String[] value() default ""
  1. @Documented 
  2. @Target({ElementType.METHOD}) 
  3. @Retention(RetentionPolicy.RUNTIME) 
  4. public @interface EncryptMethod { 
  5.  
  6.     String type() default ENCRYPT; 

切面的實現(xiàn)也比較簡單,對入?yún)⒓用?,返回結(jié)果解密。為了方便閱讀這里就只貼出部分代碼,完整案例Github地址:https://github.com/chengxy-nds/Springboot-Notebook/tree/master/springboot-jasypt

  1. @Slf4j 
  2. @Aspect 
  3. @Component 
  4. public class EncryptHandler { 
  5.  
  6.     @Autowired 
  7.     private StringEncryptor stringEncryptor; 
  8.  
  9.     @Pointcut("@annotation(com.xiaofu.annotation.EncryptMethod)"
  10.     public void pointCut() { 
  11.     } 
  12.  
  13.     @Around("pointCut()"
  14.     public Object around(ProceedingJoinPoint joinPoint) { 
  15.         /** 
  16.          * 加密 
  17.          */ 
  18.         encrypt(joinPoint); 
  19.         /** 
  20.          * 解密 
  21.          */ 
  22.         Object decrypt = decrypt(joinPoint); 
  23.         return decrypt; 
  24.     } 
  25.  
  26.     public void encrypt(ProceedingJoinPoint joinPoint) { 
  27.  
  28.         try { 
  29.             Object[] objects = joinPoint.getArgs(); 
  30.             if (objects.length != 0) { 
  31.                 for (Object o : objects) { 
  32.                     if (o instanceof String) { 
  33.                         encryptValue(o); 
  34.                     } else { 
  35.                         handler(o, ENCRYPT); 
  36.                     } 
  37.                     //TODO 其余類型自己看實際情況加 
  38.                 } 
  39.             } 
  40.         } catch (IllegalAccessException e) { 
  41.             e.printStackTrace(); 
  42.         } 
  43.     } 
  44.  
  45.     public Object decrypt(ProceedingJoinPoint joinPoint) { 
  46.         Object result = null
  47.         try { 
  48.             Object obj = joinPoint.proceed(); 
  49.             if (obj != null) { 
  50.                 if (obj instanceof String) { 
  51.                     decryptValue(obj); 
  52.                 } else { 
  53.                     result = handler(obj, DECRYPT); 
  54.                 } 
  55.                 //TODO 其余類型自己看實際情況加 
  56.             } 
  57.         } catch (Throwable e) { 
  58.             e.printStackTrace(); 
  59.         } 
  60.         return result; 
  61.     } 
  62.     。。。 

緊接著測試一下切面注解的效果,我們對字段mobile、address加上注解@EncryptField做脫敏處理。

  1. @EncryptMethod 
  2. @PostMapping(value = "test"
  3. @ResponseBody 
  4. public Object testEncrypt(@RequestBody UserVo user, @EncryptField String name) { 
  5.  
  6.     return insertUser(username); 
  7.  
  8. private UserVo insertUser(UserVo user, String name) { 
  9.     System.out.println("加密后的數(shù)據(jù):user" + JSON.toJSONString(user)); 
  10.     return user
  11.  
  12. @Data 
  13. public class UserVo implements Serializable { 
  14.  
  15.     private Long userId; 
  16.  
  17.     @EncryptField 
  18.     private String mobile; 
  19.  
  20.     @EncryptField 
  21.     private String address; 
  22.  
  23.     private String age; 

請求這個接口,看到參數(shù)被成功加密,而返回給用戶的數(shù)據(jù)依然是脫敏前的數(shù)據(jù),符合我們的預(yù)期,那到這簡單的脫敏實現(xiàn)就完事了。

知其然知其所以然

Jasypt工具雖然簡單好用,但作為程序員我們不能僅滿足于熟練使用,底層實現(xiàn)原理還是有必要了解下的,這對后續(xù)調(diào)試bug、二次開發(fā)擴展功能很重要。

個人認為Jasypt配置文件脫敏的原理很簡單,無非就是在具體使用配置信息之前,先攔截獲取配置的操作,將對應(yīng)的加密配置解密后再使用。

具體是不是如此我們簡單看下源碼的實現(xiàn),既然是以springboot方式集成,那么就先從jasypt-spring-boot-starter源碼開始入手。

starter代碼很少,主要的工作就是通過SPI機制注冊服務(wù)和@Import注解來注入需前置處理的類JasyptSpringBootAutoConfiguration。

在前置加載類EnableEncryptablePropertiesConfiguration中注冊了一個核心處理類EnableEncryptablePropertiesBeanFactoryPostProcessor。

它的構(gòu)造器有兩個參數(shù),ConfigurableEnvironment用來獲取所有配屬信息,EncryptablePropertySourceConverter對配置信息做解析處理。

順藤摸瓜發(fā)現(xiàn)具體負責(zé)解密的處理類EncryptablePropertySourceWrapper,它通過對Spring屬性管理類PropertySource做拓展,重寫了getProperty(String name)方法,在獲取配置時,凡是指定格式如ENC(x) 包裹的值全部解密處理。

既然知道了原理那么后續(xù)我們二次開發(fā),比如:切換加密算法或者實現(xiàn)自己的脫敏工具就容易的多了。

案例Github地址:https://github.com/chengxy-nds/Springboot-Notebook/tree/master/springboot-jasypt

PBE算法

再來聊一下Jasypt中用的加密算法,其實它是在JDK的JCE.jar包基礎(chǔ)上做了封裝,本質(zhì)上還是用的JDK提供的算法,默認使用的是PBE算法PBEWITHMD5ANDDES,看到這個算法命名很有意思,段個句看看,PBE、WITH、MD5、AND、DES 好像有點故事,繼續(xù)看。

PBE算法(Password Based Encryption,基于口令(密碼)的加密)是一種基于口令的加密算法,其特點在于口令是由用戶自己掌握,在加上隨機數(shù)多重加密等方法保證數(shù)據(jù)的安全性。

PBE算法本質(zhì)上并沒有真正構(gòu)建新的加密、解密算法,而是對我們已知的算法做了包裝。比如:常用的消息摘要算法MD5和SHA算法,對稱加密算法DES、RC2等,而PBE算法就是將這些算法進行合理組合,這也呼應(yīng)上前邊算法的名字。

既然PBE算法使用我們較為常用的對稱加密算法,那就會涉及密鑰的問題。但它本身又沒有鑰的概念,只有口令密碼,密鑰則是口令經(jīng)過加密算法計算得來的。

口令本身并不會很長,所以不能用來替代密鑰,只用口令很容易通過窮舉攻擊方式破譯,這時候就得加點鹽了。

鹽通常會是一些隨機信息,比如隨機數(shù)、時間戳,將鹽附加在口令上,通過算法計算加大破譯的難度。

源碼里的貓膩

簡單了解PBE算法,回過頭看看Jasypt源碼是如何實現(xiàn)加解密的。

在加密的時候首先實例化秘鑰工廠SecretKeyFactory,生成八位鹽值,默認使用的jasypt.encryptor.RandomSaltGenerator生成器。

  1. public byte[] encrypt(byte[] message) { 
  2.     // 根據(jù)指定算法,初始化秘鑰工廠 
  3.     final SecretKeyFactory factory = SecretKeyFactory.getInstance(algorithm1); 
  4.     // 鹽值生成器,只選八位 
  5.     byte[] salt = saltGenerator.generateSalt(8); 
  6.     //  
  7.     final PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray(), salt, iterations); 
  8.     // 鹽值、口令生成秘鑰 
  9.     SecretKey key = factory.generateSecret(keySpec); 
  10.  
  11.     // 構(gòu)建加密器 
  12.     final Cipher cipherEncrypt = Cipher.getInstance(algorithm1); 
  13.     cipherEncrypt.init(Cipher.ENCRYPT_MODE, key); 
  14.     // 密文頭部(鹽值) 
  15.     byte[] params = cipherEncrypt.getParameters().getEncoded(); 
  16.  
  17.     // 調(diào)用底層實現(xiàn)加密 
  18.     byte[] encryptedMessage = cipherEncrypt.doFinal(message); 
  19.  
  20.     // 組裝最終密文內(nèi)容并分配內(nèi)存(鹽值+密文) 
  21.     return ByteBuffer 
  22.             .allocate(1 + params.length + encryptedMessage.length) 
  23.             .put((byte) params.length) 
  24.             .put(params) 
  25.             .put(encryptedMessage) 
  26.             .array(); 

由于默認使用的是隨機鹽值生成器,導(dǎo)致相同內(nèi)容每次加密后的內(nèi)容都是不同的。

那么解密時該怎么對應(yīng)上呢?

看上邊的源碼發(fā)現(xiàn),最終的加密文本是由兩部分組成的,params消息頭里邊包含口令和隨機生成的鹽值,encryptedMessage密文。

加密

而在解密時會根據(jù)密文encryptedMessage的內(nèi)容拆解出params內(nèi)容解析出鹽值和口令,在調(diào)用JDK底層算法解密出實際內(nèi)容。

  1. @Override 
  2. @SneakyThrows 
  3. public byte[] decrypt(byte[] encryptedMessage) { 
  4.     // 獲取密文頭部內(nèi)容 
  5.     int paramsLength = Byte.toUnsignedInt(encryptedMessage[0]); 
  6.     // 獲取密文內(nèi)容 
  7.     int messageLength = encryptedMessage.length - paramsLength - 1; 
  8.     byte[] params = new byte[paramsLength]; 
  9.     byte[] message = new byte[messageLength]; 
  10.     System.arraycopy(encryptedMessage, 1, params, 0, paramsLength); 
  11.     System.arraycopy(encryptedMessage, paramsLength + 1, message, 0, messageLength); 
  12.  
  13.     // 初始化秘鑰工廠 
  14.     final SecretKeyFactory factory = SecretKeyFactory.getInstance(algorithm1); 
  15.     final PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray()); 
  16.     SecretKey key = factory.generateSecret(keySpec); 
  17.  
  18.     // 構(gòu)建頭部鹽值口令參數(shù) 
  19.     AlgorithmParameters algorithmParameters = AlgorithmParameters.getInstance(algorithm1); 
  20.     algorithmParameters.init(params); 
  21.  
  22.     // 構(gòu)建加密器,調(diào)用底層算法 
  23.     final Cipher cipherDecrypt = Cipher.getInstance(algorithm1); 
  24.     cipherDecrypt.init( 
  25.             Cipher.DECRYPT_MODE, 
  26.             key
  27.             algorithmParameters 
  28.     ); 
  29.     return cipherDecrypt.doFinal(message); 

解密

 

責(zé)任編輯:武曉燕 來源: 程序員內(nèi)點事
相關(guān)推薦

2024-02-05 13:39:00

隱私數(shù)據(jù)脫敏

2016-11-22 09:40:08

2022-06-23 08:42:08

配置加密解密

2021-04-01 10:23:45

SpringBootbootstrapapplication

2011-01-19 14:00:21

2011-01-13 16:27:26

Linux配置文件

2010-12-28 16:35:32

Outlook 配置文

2023-10-09 09:23:10

2020-06-17 09:49:03

潮數(shù)軟件

2022-08-17 07:06:14

SpringBoot配置@Value

2022-09-23 07:33:04

Springzookeeper配置

2010-12-27 14:59:31

Outlook 配置文

2009-07-09 15:55:18

WebWork配置文件

2011-03-28 09:07:26

Nagios配置文件

2011-04-01 16:30:49

Nagios

2011-03-28 15:52:16

Nagios配置文件

2011-03-03 09:14:38

PureFTPd

2009-09-22 10:23:15

Hibernate配置

2010-05-05 16:14:09

Unix管理

2010-08-05 14:36:07

NFS服務(wù)
點贊
收藏

51CTO技術(shù)棧公眾號