|
|
|
|
公众号矩阵

项目中数据库密码没有加密导致了数据泄露!!

作者个人研发的在高并发场景下,提供的简单、稳定、可扩展的延迟消息队列框架,具有精准的定时任务和延迟队列处理功能。自开源半年多以来,已成功为十几家中小型企业提供了精准定时调度方案,经受住了生产环境的考验。

作者:冰河 来源:冰河技术|2021-02-28 07:47

作者个人研发的在高并发场景下,提供的简单、稳定、可扩展的延迟消息队列框架,具有精准的定时任务和延迟队列处理功能。自开源半年多以来,已成功为十几家中小型企业提供了精准定时调度方案,经受住了生产环境的考验。为使更多童鞋受益,现给出开源框架地址:https://github.com/sunshinelyz/mykit-delay

写在前面

最近,有位读者私信我说,他们公司的项目中配置的数据库密码没有加密,编译打包后的项目被人反编译了,从项目中成功获取到数据库的账号和密码,进一步登录数据库获取了相关的数据,并对数据库进行了破坏。虽然这次事故影响的范围不大,但是这足以说明很多公司对于项目的安全性问题重视程度不够。

文章已收录到:

https://github.com/sunshinelyz/technology-binghe

https://gitee.com/binghe001/technology-binghe

数据泄露缘由

由于Java项目的特殊性,打包后的项目如果没有做代码混淆,配置文件中的重要配置信息没有做加密处理的话,一旦打包的程序被反编译后,很容易获得这些敏感信息,进一步对项目或者系统造成一定的损害。所以,无论是公司层面还是开发者个人,都需要对项目的安全性有所重视。

今天,我们就一起来聊聊如何在项目中加密数据库密码,尽量保证数据库密码的安全性。本文中,我使用的数据库连接池是阿里开源的Druid。

数据库密码加密

配置数据库连接池

这里,我就简单的使用xml配置进行演示,当然小伙伴们也可以使用Spring注解方式,或者使用SpringBoot进行配置。

  1. <!--数据源加密操作--> 
  2. <bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 
  3.   
  4. <bean id="statFilter" class="com.alibaba.druid.filter.stat.StatFilter" lazy-init="true"
  5.         <property name="logSlowSql" value="true"/> 
  6.         <property name="mergeSql" value="true"/> 
  7.     </bean> 
  8. <!-- 数据库连接 --> 
  9. <bean id="readDataSource" class="com.alibaba.druid.pool.DruidDataSource" 
  10.           destroy-method="close" init-method="init" lazy-init="true"
  11.         <property name="driverClassName" value="${driver}"/> 
  12.         <property name="url" value="${url1}"/> 
  13.         <property name="username" value="${username}"/> 
  14.         <property name="password" value="${password}"/> 
  15.         <!-- 初始化连接大小 --> 
  16.         <property name="initialSize" value="${initialSize}"/> 
  17.         <!-- 连接池最大数量 --> 
  18.         <property name="maxActive" value="${maxActive}"/> 
  19.         <!-- 连接池最小空闲 --> 
  20.         <property name="minIdle" value="${minIdle}"/> 
  21.         <!-- 获取连接最大等待时间 --> 
  22.         <property name="maxWait" value="${maxWait}"/> 
  23.         <!-- --> 
  24.         <property name="defaultReadOnly" value="true"/> 
  25.         <property name="proxyFilters"
  26.             <list> 
  27.                 <ref bean="statFilter"/> 
  28.             </list> 
  29.         </property> 
  30.         <property name="filters" value="${druid.filters}"/> 
  31.         <property name="connectionProperties" value="password=${password}"/> 
  32.         <property name="passwordCallback" ref="dbPasswordCallback"/> 
  33.         <property name="testWhileIdle" value="true"/> 
  34.         <property name="testOnBorrow" value="false"/> 
  35.         <property name="testOnReturn" value="false"/> 
  36.         <property name="validationQuery" value="SELECT 'x'"/> 
  37.         <property name="timeBetweenLogStatsMillis" value="60000"/> 
  38.         <!-- 配置一个连接在池中最小生存的时间,单位是毫秒 --> 
  39.         <property name="minEvictableIdleTimeMillis" value="${minEvictableIdleTimeMillis}"/> 
  40.         <!-- 配置间隔多久才进行一次检测,检测需要关闭的空闲连接,单位是毫秒 --> 
  41.         <property name="timeBetweenEvictionRunsMillis" value="${timeBetweenEvictionRunsMillis}"/> 
  42. </bean> 

其中要注意的是:我在配置文件中进行了如下配置。

  1. <bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 
  2.   
  3. <property name="connectionProperties" value="password=${password}"/>   
  4. <property name="passwordCallback" ref="dbPasswordCallback"/> 

生成RSA密钥

使用RSA公钥和私钥,生成一对公钥和私钥的工具类如下所示。

  1. package com.binghe.crypto.rsa; 
  2. import java.security.Key
  3. import java.security.KeyPair; 
  4. import java.security.KeyPairGenerator; 
  5. import java.security.interfaces.RSAPrivateKey; 
  6. import java.security.interfaces.RSAPublicKey; 
  7. import java.util.HashMap; 
  8. import java.util.Map; 
  9. import sun.misc.BASE64Decoder; 
  10. import sun.misc.BASE64Encoder; 
  11. /** 
  12.  * 算法工具类 
  13.  * @author binghe 
  14.  */ 
  15. public class RSAKeysUtil { 
  16.   
  17.     public static final String KEY_ALGORITHM = "RSA"
  18.     public static final String SIGNATURE_ALGORITHM = "MD5withRSA"
  19.     private static final String PUBLIC_KEY = "RSAPublicKey"
  20.     private static final String PRIVATE_KEY = "RSAPrivateKey"
  21.   
  22.     public static void main(String[] args) { 
  23.         Map<String, Object> keyMap; 
  24.         try { 
  25.             keyMap = initKey(); 
  26.             String publicKey = getPublicKey(keyMap); 
  27.             System.out.println(publicKey); 
  28.             String privateKey = getPrivateKey(keyMap); 
  29.             System.out.println(privateKey); 
  30.         } catch (Exception e) { 
  31.             e.printStackTrace(); 
  32.         } 
  33.     } 
  34.   
  35.     public static String getPublicKey(Map<String, Object> keyMap) throws Exception { 
  36.         Key key = (Key) keyMap.get(PUBLIC_KEY); 
  37.         byte[] publicKey = key.getEncoded(); 
  38.         return encryptBASE64(key.getEncoded()); 
  39.     } 
  40.   
  41.     public static String getPrivateKey(Map<String, Object> keyMap) throws Exception { 
  42.         Key key = (Key) keyMap.get(PRIVATE_KEY); 
  43.         byte[] privateKey = key.getEncoded(); 
  44.         return encryptBASE64(key.getEncoded()); 
  45.     } 
  46.   
  47.     public static byte[] decryptBASE64(String key) throws Exception { 
  48.         return (new BASE64Decoder()).decodeBuffer(key); 
  49.     } 
  50.   
  51.     public static String encryptBASE64(byte[] key) throws Exception { 
  52.         return (new BASE64Encoder()).encodeBuffer(key); 
  53.     } 
  54.   
  55.     public static Map<String, Object> initKey() throws Exception { 
  56.         KeyPairGenerator keyPairGen = KeyPairGenerator.getInstance(KEY_ALGORITHM); 
  57.         keyPairGen.initialize(1024); 
  58.         KeyPair keyPair = keyPairGen.generateKeyPair(); 
  59.         RSAPublicKey publicKey = (RSAPublicKey) keyPair.getPublic(); 
  60.         RSAPrivateKey privateKey = (RSAPrivateKey) keyPair.getPrivate(); 
  61.         Map<String, Object> keyMap = new HashMap<String, Object>(2); 
  62.         keyMap.put(PUBLIC_KEY, publicKey); 
  63.         keyMap.put(PRIVATE_KEY, privateKey); 
  64.         return keyMap; 
  65.     } 

运行这个类,输出的结果如下:

在输出的结果信息中,上边是公钥下边是私钥。

对密码进行加密

使用私钥对明文密码进行加密,示例代码如下所示。

  1. package com.binghe.dbsource.demo; 
  2. import com.alibaba.druid.filter.config.ConfigTools; 
  3. /** 
  4.  * 使用密钥加密数据库密码的代码示例 
  5.  * @author binghe 
  6.  */ 
  7. public class ConfigToolsDemo { 
  8.  /** 
  9.   * 私钥对数据进行加密 
  10.   */ 
  11.  private static final String PRIVATE_KEY_STRING = "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"
  12.     public static void main(String[] args) throws Exception { 
  13.       //密码明文,也就是数据库的密码 
  14.         String plainText = "root"
  15.         System.out.printf(ConfigTools.encrypt(PRIVATE_KEY_STRING, plainText)); 
  16.  } 

运行上述代码示例,结果如下所示。

然后将数据库配置的链接密码改为这个输出结果如下:

  1. jdbc.username=root 
  2. jdbc.password=EA9kJ8NMV8zcb5AeLKzAsL/8F1ructRjrqs69zM70BwDyeMtxuEDEVe9CBeRgZ+qEUAshhWGEDk9ay3TLLKrf2AOE3VBn+w8+EfUIEXFy8u3jYViHeV8yc8Z7rghdFShhd/IJbjqbsro1YtB9pHrl4EpbCqp7RM2rZR/wJ0WN48= 

编写解析数据库密码的类

  1. package com.binghe.dbsource; 
  2. import java.util.Properties; 
  3. import com.alibaba.druid.filter.config.ConfigTools; 
  4. import com.alibaba.druid.util.DruidPasswordCallback; 
  5. /** 
  6.  * 数据库密码回调 
  7.  * @author binghe 
  8.  */ 
  9. public class DBPasswordCallback extends DruidPasswordCallback { 
  10.  private static final long serialVersionUID = -4601105662788634420L; 
  11.  /** 
  12.   * password的属性 
  13.   */ 
  14.  private static final String DB_PWD = "password"
  15.  /** 
  16.   * 数据对应的公钥 
  17.   */ 
  18.  public static final String PUBLIC_KEY_STRING = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCratyCT+YnQ12YzC+iPB0wJdIbVmUjjuNy4Wf/rLbCBudFrLltFCdr3axLY70xHycT+jdVTa27BfS67KegOAMlMMdNGVLnk5W1Gl+tNd+A4tCHUNwuEU7eZjyGxd4VCnq7PHLJbYGEeHwcr0dxKuJbfowKJVRypss7n7pB93d7yQIDAQAB"
  19.   
  20.  @Override 
  21.  public void setProperties(Properties properties) { 
  22.         super.setProperties(properties); 
  23.         String pwd = properties.getProperty(DB_PWD); 
  24.         if (pwd != null && !"".equals(pwd.trim())) { 
  25.             try { 
  26.                 //这里的password是将jdbc.properties配置得到的密码进行解密之后的值 
  27.                 //所以这里的代码是将密码进行解密 
  28.                 //TODO 将pwd进行解密; 
  29.                 String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd);  
  30.                 setPassword(password.toCharArray()); 
  31.             } catch (Exception e) { 
  32.                 setPassword(pwd.toCharArray()); 
  33.             } 
  34.         } 
  35.     } 

这里DBPasswordCallback类,就是在配置文件中配置的DBPasswordCallback类,如下所示。

  1. <bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 

其中PasswordCallback是javax.security.auth.callback包下面的,底层安全服务实例化一个 PasswordCallback 并将其传递给 CallbackHandler 的 handle 方法,以获取密码信息。

当然,除了使用上述的方式,自己也可以对应一套加解密方法,只需要将 DBPasswordCallback的 String password = ConfigTools.decrypt(PUBLIC_KEY_STRING, pwd); 替换即可。

另外,在编写解析数据库密码的类时,除了可以继承阿里巴巴开源的Druid框架中的DruidPasswordCallback类外,还可以直接继承自Spring提供的PropertyPlaceholderConfigurer类,如下所示。

  1. public class DecryptPropertyPlaceholderConfigurer extends PropertyPlaceholderConfigurer{ 
  2.     /** 
  3.      * 重写父类方法,解密指定属性名对应的属性值 
  4.      */ 
  5.     @Override 
  6.     protected String convertProperty(String propertyName,String propertyValue){ 
  7.         if(isEncryptPropertyVal(propertyName)){ 
  8.             return DesUtils.getDecryptString(propertyValue);//调用解密方法 
  9.         }else
  10.             return propertyValue; 
  11.         } 
  12.     } 
  13.     /** 
  14.      * 判断属性值是否需要解密,这里我约定需要解密的属性名用encrypt开头 
  15.      */ 
  16.     private boolean isEncryptPropertyVal(String propertyName){ 
  17.         if(propertyName.startsWith("encrypt")){ 
  18.             return true
  19.         }else
  20.             return false
  21.         } 
  22.     } 

此时,就需要将xml文件中的如下配置

  1. <bean id="dbPasswordCallback" class="com.binghe.dbsource.DBPasswordCallback" lazy-init="true"/> 

修改为下面的配置。

  1. <bean id="dbPasswordCallback" class="com.binghe.dbsource.DecryptPropertyPlaceholderConfigurer" lazy-init="true"/> 

到此,在项目中对数据库密码进行加密和解析的整个过程就完成了。

本文转载自微信公众号「冰河技术」,可以通过以下二维码关注。转载本文请联系冰河技术公众号。

【编辑推荐】

  1. 2021年软考数据库系统工程师-上午历年真题解析视频课程
  2. C#SQL Server数据库技术视频课程
  3. 98%的DBA不知道的数据库内存知识点
  4. 2021年软考数据库系统工程师-下午案例分析历年真题解析视频课程
  5. Oracle12c数据库培训教程02:Linux系统Oracle12c数据库安装与维护
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

订阅专栏+更多

数据湖与数据仓库的分析实践攻略

数据湖与数据仓库的分析实践攻略

助力现代化数据管理:数据湖与数据仓库的分析实践攻略
共3章 | 创世达人

6人订阅学习

云原生架构实践

云原生架构实践

新技术引领移动互联网进入急速赛道
共3章 | KaliArch

35人订阅学习

数据中心和VPDN网络建设案例

数据中心和VPDN网络建设案例

漫画+案例
共20章 | 捷哥CCIE

222人订阅学习

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊

51CTO服务号

51CTO官微