51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

项目中数据库密码没有加密导致了数据泄露!!

作者:冰河
运维 数据库运维
作者个人研发的在高并发场景下,提供的简单、稳定、可扩展的延迟消息队列框架,具有精准的定时任务和延迟队列处理功能。自开源半年多以来,已成功为十几家中小型企业提供了精准定时调度方案,经受住了生产环境的考验。

[[383999]]

作者个人研发的在高并发场景下,提供的简单、稳定、可扩展的延迟消息队列框架,具有精准的定时任务和延迟队列处理功能。自开源半年多以来,已成功为十几家中小型企业提供了精准定时调度方案,经受住了生产环境的考验。为使更多童鞋受益,现给出开源框架地址:https://github.com/sunshinelyz/mykit-delay

写在前面

最近,有位读者私信我说,他们公司的项目中配置的数据库密码没有加密,编译打包后的项目被人反编译了,从项目中成功获取到数据库的账号和密码,进一步登录数据库获取了相关的数据,并对数据库进行了破坏。虽然这次事故影响的范围不大,但是这足以说明很多公司对于项目的安全性问题重视程度不够。

文章已收录到:

https://github.com/sunshinelyz/technology-binghe

https://gitee.com/binghe001/technology-binghe

数据泄露缘由

由于Java项目的特殊性,打包后的项目如果没有做代码混淆,配置文件中的重要配置信息没有做加密处理的话,一旦打包的程序被反编译后,很容易获得这些敏感信息,进一步对项目或者系统造成一定的损害。所以,无论是公司层面还是开发者个人,都需要对项目的安全性有所重视。

今天,我们就一起来聊聊如何在项目中加密数据库密码,尽量保证数据库密码的安全性。本文中,我使用的数据库连接池是阿里开源的Druid。

数据库密码加密

配置数据库连接池

这里,我就简单的使用xml配置进行演示,当然小伙伴们也可以使用Spring注解方式,或者使用SpringBoot进行配置。

  1. <!--数据源加密操作--> 
  2. <bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 
  3.   
  4. <bean id="statFilter" class="com.alibaba.druid.filter.stat.StatFilter" lazy-init="true"
  5.         <property name="logSlowSql" value="true"/> 
  6.         <property name="mergeSql" value="true"/> 
  7.     </bean> 
  8. <!-- 数据库连接 --> 
  9. <bean id="readDataSource" class="com.alibaba.druid.pool.DruidDataSource" 
  10.           destroy-method="close" init-method="init" lazy-init="true"
  11.         <property name="driverClassName" value="${driver}"/> 
  12.         <property name="url" value="${url1}"/> 
  13.         <property name="username" value="${username}"/> 
  14.         <property name="password" value="${password}"/> 
  15.         <!-- 初始化连接大小 --> 
  16.         <property name="initialSize" value="${initialSize}"/> 
  17.         <!-- 连接池最大数量 --> 
  18.         <property name="maxActive" value="${maxActive}"/> 
  19.         <!-- 连接池最小空闲 --> 
  20.         <property name="minIdle" value="${minIdle}"/> 
  21.         <!-- 获取连接最大等待时间 --> 
  22.         <property name="maxWait" value="${maxWait}"/> 
  23.         <!-- --> 
  24.         <property name="defaultReadOnly" value="true"/> 
  25.         <property name="proxyFilters"
  26.             <list> 
  27.                 <ref bean="statFilter"/> 
  28.             </list> 
  29.         </property> 
  30.         <property name="filters" value="${druid.filters}"/> 
  31.         <property name="connectionProperties" value="password=${password}"/> 
  32.         <property name="passwordCallback" ref="dbPasswordCallback"/> 
  33.         <property name="testWhileIdle" value="true"/> 
  34.         <property name="testOnBorrow" value="false"/> 
  35.         <property name="testOnReturn" value="false"/> 
  36.         <property name="validationQuery" value="SELECT 'x'"/> 
  37.         <property name="timeBetweenLogStatsMillis" value="60000"/> 
  38.         <!-- 配置一个连接在池中最小生存的时间,单位是毫秒 --> 
  39.         <property name="minEvictableIdleTimeMillis" value="${minEvictableIdleTimeMillis}"/> 
  40.         <!-- 配置间隔多久才进行一次检测,检测需要关闭的空闲连接,单位是毫秒 --> 
  41.         <property name="timeBetweenEvictionRunsMillis" value="${timeBetweenEvictionRunsMillis}"/> 
  42. </bean> 

其中要注意的是:我在配置文件中进行了如下配置。

  1. <bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 
  2.   
  3. <property name="connectionProperties" value="password=${password}"/>   
  4. <property name="passwordCallback" ref="dbPasswordCallback"/> 

生成RSA密钥

使用RSA公钥和私钥,生成一对公钥和私钥的工具类如下所示。

  1. package com.binghe.crypto.rsa; 
  2. import java.security.Key
  3. import java.security.KeyPair; 
  4. import java.security.KeyPairGenerator; 
  5. import java.security.interfaces.RSAPrivateKey; 
  6. import java.security.interfaces.RSAPublicKey; 
  7. import java.util.HashMap; 
  8. import java.util.Map; 
  9. import sun.misc.BASE64Decoder; 
  10. import sun.misc.BASE64Encoder; 
  11. /** 
  12.  * 算法工具类 
  13.  * @author binghe 
  14.  */ 
  15. public class RSAKeysUtil { 
  16.   
  17.     public static final String KEY_ALGORITHM = "RSA"
  18.     public static final String SIGNATURE_ALGORITHM = "MD5withRSA"
  19.     private static final String PUBLIC_KEY = "RSAPublicKey"
  20.     private static final String PRIVATE_KEY = "RSAPrivateKey"
  21.   
  22.     public static void main(String[] args) { 
  23.         Map<String, Object> keyMap; 
  24.         try { 
  25.             keyMap = initKey(); 
  26.             String publicKey = getPublicKey(keyMap); 
  27.             System.out.println(publicKey); 
  28.             String privateKey = getPrivateKey(keyMap); 
  29.             System.out.println(privateKey); 
  30.         } catch (Exception e) { 
  31.             e.printStackTrace(); 
  32.         } 
  33.     } 
  34.   
  35.     public static String getPublicKey(Map<String, Object> keyMap) throws Exception { 
  36.         Key key = (Key) keyMap.get(PUBLIC_KEY); 
  37.         byte[] publicKey = key.getEncoded(); 
  38.         return encryptBASE64(key.getEncoded()); 
  39.     } 
  40.   
  41.     public static String getPrivateKey(Map<String, Object> keyMap) throws Exception { 
  42.         Key key = (Key) keyMap.get(PRIVATE_KEY); 
  43.         byte[] privateKey = key.getEncoded(); 
  44.         return encryptBASE64(key.getEncoded()); 
  45.     } 
  46.   
  47.     public static byte[] decryptBASE64(String key) throws Exception { 
  48.         return (new BASE64Decoder()).decodeBuffer(key); 
  49.     } 
  50.   
  51.     public static String encryptBASE64(byte[] key) throws Exception { 
  52.         return (new BASE64Encoder()).encodeBuffer(key); 
  53.     } 
  54.   
  55.     public static Map<String, Object> initKey() throws Exception { 
  56.         KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM); 
  57.         keyPairGen.initialize(1024); 
  58.         KeyPair keyPair = keyPairGen.generateKeyPair(); 
  59.         RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic(); 
  60.         RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate(); 
  61.         Map<String, Object> keyMap = new HashMap<String, Object>(2); 
  62.         keyMap.put(PUBLIC_KEY, publicKey); 
  63.         keyMap.put(PRIVATE_KEY, privateKey); 
  64.         return keyMap; 
  65.     } 

运行这个类,输出的结果如下:

在输出的结果信息中,上边是公钥下边是私钥。

对密码进行加密

使用私钥对明文密码进行加密,示例代码如下所示。

  1. package com.binghe.dbsource.demo; 
  2. import com.alibaba.druid.filter.config.ConfigTools; 
  3. /** 
  4.  * 使用密钥加密数据库密码的代码示例 
  5.  * @author binghe 
  6.  */ 
  7. public class ConfigToolsDemo { 
  8.  /** 
  9.   * 私钥对数据进行加密 
  10.   */ 
  11.  private static final String PRIVATE_KEY_STRING = "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"
  12.     public static void main(String[] args) throws Exception { 
  13.       //密码明文,也就是数据库的密码 
  14.         String plainText = "root"
  15.         System.out.printf(ConfigTools.encrypt(PRIVATE_KEY_STRING, plainText)); 
  16.  } 

运行上述代码示例,结果如下所示。

然后将数据库配置的链接密码改为这个输出结果如下:

  1. jdbc.username=root 
  2. jdbc.password=EA9kJ8NMV8zcb5AeLKzAsL/8F1ructRjrqs69zM70BwDyeMtxuEDEVe9CBeRgZ+qEUAshhWGEDk9ay3TLLKrf2AOE3VBn+w8+EfUIEXFy8u3jYViHeV8yc8Z7rghdFShhd/IJbjqbsro1YtB9pHrl4EpbCqp7RM2rZR/wJ0WN48= 

编写解析数据库密码的类

  1. package com.binghe.dbsource; 
  2. import java.util.Properties; 
  3. import com.alibaba.druid.filter.config.ConfigTools; 
  4. import com.alibaba.druid.util.DruidPasswordCallback; 
  5. /** 
  6.  * 数据库密码回调 
  7.  * @author binghe 
  8.  */ 
  9. public class DBPasswordCallback extends DruidPasswordCallback { 
  10.  private static final long serialVersionUID = -4601105662788634420L; 
  11.  /** 
  12.   * password的属性 
  13.   */ 
  14.  private static final String DB_PWD = "password"
  15.  /** 
  16.   * 数据对应的公钥 
  17.   */ 
  18.  public static final String PUBLIC_KEY_STRING = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCratyCT+YnQ12YzC+iPB0wJdIbVmUjjuNy4Wf/rLbCBudFrLltFCdr3axLY70xHycT+jdVTa27BfS67KegOAMlMMdNGVLnk5W1Gl+tNd+A4tCHUNwuEU7eZjyGxd4VCnq7PHLJbYGEeHwcr0dxKuJbfowKJVRypss7n7pB93d7yQIDAQAB"
  19.   
  20.  @Override 
  21.  public void setProperties(Properties properties) { 
  22.         super.setProperties(properties); 
  23.         String pwd = properties.getProperty(DB_PWD); 
  24.         if (pwd != null && !"".equals(pwd.trim())) { 
  25.             try { 
  26.                 //这里的password是将jdbc.properties配置得到的密码进行解密之后的值 
  27.                 //所以这里的代码是将密码进行解密 
  28.                 //TODO 将pwd进行解密; 
  29.                 String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd);  
  30.                 setPassword(password.toCharArray()); 
  31.             } catch (Exception e) { 
  32.                 setPassword(pwd.toCharArray()); 
  33.             } 
  34.         } 
  35.     } 

这里DBPasswordCallback类,就是在配置文件中配置的DBPasswordCallback类,如下所示。

  1. <bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 

其中PasswordCallback是javax.security.auth.callback包下面的,底层安全服务实例化一个 PasswordCallback 并将其传递给 CallbackHandler 的 handle 方法,以获取密码信息。

当然,除了使用上述的方式,自己也可以对应一套加解密方法,只需要将 DBPasswordCallback的 String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd); 替换即可。

另外,在编写解析数据库密码的类时,除了可以继承阿里巴巴开源的Druid框架中的DruidPasswordCallback类外,还可以直接继承自Spring提供的PropertyPlaceholderConfigurer类,如下所示。

  1. public class DecryptPropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer{ 
  2.     /** 
  3.      * 重写父类方法,解密指定属性名对应的属性值 
  4.      */ 
  5.     @Override 
  6.     protected String convertProperty(String propertyName,String propertyValue){ 
  7.         if(isEncryptPropertyVal(propertyName)){ 
  8.             return DesUtils.getDecryptString(propertyValue);//调用解密方法 
  9.         }else
  10.             return propertyValue; 
  11.         } 
  12.     } 
  13.     /** 
  14.      * 判断属性值是否需要解密,这里我约定需要解密的属性名用encrypt开头 
  15.      */ 
  16.     private boolean isEncryptPropertyVal(String propertyName){ 
  17.         if(propertyName.startsWith("encrypt")){ 
  18.             return true
  19.         }else
  20.             return false
  21.         } 
  22.     } 

此时,就需要将xml文件中的如下配置

  1. <bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 

修改为下面的配置。

  1. <bean id="dbPasswordCallback" class="com.binghe.dbsource.DecryptPropertyPlaceholderConfigurer" lazy-init="true"/> 

到此,在项目中对数据库密码进行加密和解析的整个过程就完成了。

本文转载自微信公众号「冰河技术」,可以通过以下二维码关注。转载本文请联系冰河技术公众号。

 

责任编辑:武晓燕 来源: 冰河技术
数据库密码加密
相关推荐
MySQL数据库密码加密方式详解
我们今天和大家讨论的是MySQL数据库密码加密方式与破解的实际解决方案,如果你对这一实用性技术很感兴趣的话,你就可以点击以下的文章。

2010-05-19 13:37:39

MySQL数据库密码
详解导致不能压缩数据库的原因
压缩数据库文件可以提高数据库的性能,但是有些时候在压缩数据库时,系统会提醒用户该数据库不能压缩。如果在Access数据库中删除数据库对象,或者在Access项目中删除对象,Access数据库或Access项目可能会产生碎片并会降低磁盘空间的使用效率。压缩Access数据库或Access项目实际上是复制该文件,并重新组织文件在磁盘上的存储方式。

2011-05-24 14:48:46

压缩数据库
年底,你的数据库密码安全吗
年底了,你的数据库是不是该巡检了?一般巡检都会关心密码安全问题,比如密码复杂度设置,是否有定期修改等。特别是进行等保评测时,评测机构会要求具备密码安全策略。其实MySQL系统本身可以设置密码复杂度及自动过期策略的,可能比较少用,大多数同学并未详细去了解。

2021-01-06 10:52:02

MySQL数据库安全
SQL Server数据库没有JOIN条件导致笛卡尔乘积
在SQL查询中,如果对两张表JOIN查询而没有JOIN条件时,就会产生笛卡尔乘积,从而导致SQL性能下降。本文我们主要就介绍了这一过程的一个案例,希望能够对您有所帮助。

2011-08-30 09:14:49

SQL ServerJOIN条件笛卡尔乘积
找回MD5加密密码及MD5加密数据库数据
有时,在开发过程中,如果不小心更改掉了项目管理员帐号的密码而又忘了,存在数据库里的密码又是MD5加密后的,这时候怎么办最为菜鸟的我,刚开始也很迷茫,不过向前辈们请教了请教,自己也查了查资料,特意整理记录一下,并分享给大家。

2015-03-23 11:21:08

数据泄露检查之本地数据库安全
对于本地漏洞,如何降低风险战斗的很大一部分是你的心态。使基础设施更新成为重中之重是关键。建立清晰、详细的基础设施战略很重要。

2022-04-11 06:56:14

数据库安全数据泄露
数据库加密实现数据安全
数据库在经过一次次技术改革,安全性受到严重威胁,黑客们的技术可以说是相当高超,但总归一句话,那就是邪不压正,数据库加密就实现了数据安全,本篇文章主要讲述数据库加密这种保护系统。

2011-03-02 16:43:25

暗网出现史上最大账号密码数据库泄露
在暗网市场,人们可以买到任何非法物品,如毒品、武器、虚假文档,甚至是被盗的数据库。虽然Hansa和AlphaBay这两个最大的暗网市场已被关停,交易行为受到了一定的打击,但这并不意味着暗网的交易被完全遏制。近日,暗网监控公司4iQ发现了高达41GB的数据文件,其中包含14亿个明文存储的账号邮箱和密码等登录凭证。

2017-12-20 09:59:06

在实际项目中如何评估数据库的实际需求?
在评估数据库的实际需求时,我们需要与项目团队密切合作,了解他们的需求和期望,以便为项目提供最适合的数据库解决方案。

2024-01-22 09:43:50

数据库方案
推荐物联网项目中采用时序数据库
随着制造业数字化的发展以及物联网应用的普及,越来越非互联网、业务系统的数据被采集、记录和存储。

2022-01-06 11:34:09

数据库物联网应用
The Telegraph 10TB数据库泄露
TheTelegraph10TB订阅用户数据库泄露,TheTelegraph回应称只有600用户受到影响。

2021-10-09 12:56:45

数据库泄露网络攻击网络安全
有用户怀疑LastPass的主密码数据库可能已被泄露
有使用LastPass的用户报告说,有多人试图使用正确的主密码从不同地点登录,表明该公司可能存在数据泄露。

2021-12-29 06:13:44

数据库密码数据泄露
浅谈数据库透明加密(TDE)
透明数据加密(TDE)是一种数据库端存储加密技术,全称为TransparentDataEncryption。这种技术对应用系统完全透明,通常由数据库厂商在数据库引擎中实现。在数据库引擎的存储管理层中增加一个数据处理过程,当数据由数据库共享内存写入到数据文件时对其进行加密,而当数据由数据文件读取到数据库共享内存时则对其进行解密。

2023-09-01 07:30:59

Neopets遭遇数据泄露,源代码与数据库被盗
虚拟宠物网站Neopets遭遇数据泄露,导致源代码以及包含6900多万会员个人信息的数据库被盗。

2022-07-21 12:49:21

数据泄露黑客
都2020年,居然还有人没有数据科学项目中使用Docker?
新手程序员面临的困难的问题之一是理解“环境”的概念。环境就是你编写代码的系统,听起来很容易,但很快你就会明白维护系统有多困难。

2020-08-18 08:09:55

Docker容器工具
波及甚广,巴西某数据库发生数据泄露事件
据外媒报道,PSafe的网络安全实验室dfndr发布报告称,巴西的某数据库发生重大泄密事件,数百万人的CPF号码及其他机密信息可能遭到了泄露。

2021-01-27 21:21:46

数据泄露网络安全信息安全
浅析SQL Server数据库项目中的备份与还原
笔者根据近一段时间所学的数据库知识编写了这篇关于SQLServer如何在项目中实现备份与还原的文章,与大家相互探讨、学习。

2011-03-10 08:42:15

SQL Server备份还原
数据库密码泄露后官方对企业及网友的一忠告
数据库密码泄露后官方对企业以及网友应该注意哪些?

2012-12-20 10:22:49

SQL Server数据库如何正确加密
我们今天主要向大家讲述的是在SQLServer数据库上正确进行加密的实际操作步骤,其中包括对密码,密码加密,定义加密这些内容的介绍。

2010-07-01 15:02:29

SQL Server数
数据库加密及实践建议
当使用云数据库,特别是用到了数据库的SaaS解决方案时,数据库的正常功能将会降低,迫使数据库或云应用能访问密钥,除非能在密文上操作。

2013-11-04 09:40:49

云数据库数据库加密云数据库加密
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服