SpringBoot中一次性随机密码生成方式

从产品的安全角度考虑，所有的敏感数据不能进行明文存储，比如数据库密码，Redis密码等，这些信息我们需要进行加密存储。而且对于安全性要求比较高的产品，对于加密算法也有要求，不能用普通的加密算法，需要使用安全性比较高的加密算法，比如PBEWITHHMACSHA512ANDAES_256，而且对密码的生成也有要严格要求，需要使用一次性随机密码，也就是密码只有在部署时刻由机器自动生成，部署完成后密码进行了加密，没有人知道原始密码是什么，防止密码人为的泄漏。这篇文章将介绍在SpringBoot下如何实现敏感信息的加密，以及如何在部署时随机生成一次性密码

Jasypt介绍

Jasypt是一个Java库，允许开发人员以很简单的方式添加基本加密功能，而无需深入研究加密原理。利用它可以实现高安全性的，基于标准的加密技术，无论是单向和双向加密。加密密码，文本，数字，二进制文件。官网http://www.jasypt.org/cli.html。我们可以从官网上下载Jasypt，包括文档，lib以及运行脚本。如下目录结构：


apidocs
bin
lib
LICENSE.txt
NOTICE.txt
readme.txt

它支持很多加密算法，在windows下运行listAlgorithms.bat，在Linux下运行listAlgorithms.sh,可以获取到支持的算法列表。


PBEWITHHMACSHA1ANDAES_128,
PBEWITHHMACSHA1ANDAES_256,
PBEWITHHMACSHA224ANDAES_128,
PBEWITHHMACSHA224ANDAES_256,
PBEWITHHMACSHA256ANDAES_128,
PBEWITHHMACSHA256ANDAES_256,
PBEWITHHMACSHA384ANDAES_128,
PBEWITHHMACSHA384ANDAES_256,
PBEWITHHMACSHA512ANDAES_128,
PBEWITHHMACSHA512ANDAES_256,
PBEWITHMD5ANDDES,
PBEWITHMD5ANDTRIPLEDES,
PBEWITHSHA1ANDDESEDE,
PBEWITHSHA1ANDRC2_128,
PBEWITHSHA1ANDRC2_40,
PBEWITHSHA1ANDRC4_128,
PBEWITHSHA1ANDRC4_40

JCE介绍

由于受美国的密码出口条例约束，Java中涉及加解密功能的API被限制出口，所以Java中安全组件被分成了两部分：不含加密功能的JCA（Java Cryptography Architecture ）和含加密功能的JCE（Java Cryptography Extension）。主要是jre\lib\security 目录下的 local_policy.jar 和 US_export_policy.jar 这两个文件。

JCE的安装：

根据JDK版本选择相应的JCE进行安装，如何是OpenJDK1.8以上，已经包括了JCE，无需安装。

JDK8对应的版本下载链接：
http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
JDK7对应的版本下载链接：http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.htmlJDK早期版本的下载链接：http://www.oracle.com/technetwork/java/javasebusiness/downloads/java-archive-downloads-java-plat-419418.html#jce_policy-1.5.0-oth-JPR

下载对应版本的jce后就把本地的jdk备份了一下（以防出现问题），然后替换了local_policy.jar和US_export_policy.jar。

SpringBoot集成Jasypt

SpringBoot中集成Jasypt比较简单，很少代码就能实现数据的加密和解密。

第一步，添加依赖和插件

添加jasypt-spring-boot-starter依赖：


<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.2</version>
</dependency>

第二步，自定义加密方法

如果在SpringBoot中使用默认的加密算法和配置来加密明文，无需开发代码和添加配置即可实现，只需要传入jasypt.encryptor.password密钥值。但大部分时候我们都会自定义加密，设置一些自定义参数，这种在SpringBoot中也可以比较简单的实现。
首先，自定义Bean,如下是使用PBEWITHHMACSHA512ANDAES_256算法来实现加密和解密。


@Bean("jasyptStringEncryptor")
publicStringEncryptor stringEncryptor(@Value("${jasypt.encryptor.password}")String key){
    PooledPBEStringEncryptor encryptor =newPooledPBEStringEncryptor();
    SimpleStringPBEConfig config = newSimpleStringPBEConfig();
        config.setPassword(key);
        config.setAlgorithm("PBEWITHHMACSHA512ANDAES_256");
        config.setKeyObtentionIterations("1000");
        config.setPoolSize("1");
        config.setProviderName("SunJCE");
       config.setSaltGeneratorClassName("org.jasypt.salt.RandomSaltGenerator");
        config.setIvGeneratorClassName("org.jasypt.iv.RandomIvGenerator");
        config.setStringOutputType("base64");
        encryptor.setConfig(config);
    return encryptor;
}

下一步，在application.properties中增加如下配置


jasypt.encryptor.password=${PRIVATE_KEY}
jasypt.encryptor.bean=jasyptStringEncryptor

注意密钥在环境变量中设置。

第三步，对明文进行加密

我们可以使用Jasypt-maven-plugin来对明文进行加密，添加jasypt-maven-plugin插件：


<plugin>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-maven-plugin</artifactId>
    <version>3.0.2</version>
</plugin>

以加密PostgreSQL密码为例。加密前配置，PostgreSQL密码以明文存储：


spring.datasource.url=jdbc:postgresql://${PG_HOST:localhost}:5432/test_db
spring.datasource.username=test
spring.datasource.password=testpassword

使用jasypt-maven-plugin插件加密明文密码：

mvn jasypt:encrypt-value -Djasypt.encryptor.password="privatekey"-Djasypt.plugin.value="testpassword"-Djasypt.encryptor.algorithm="PBEWithMD5AndDES"

jasypt.encryptor.password 是秘钥，尽量复杂！不能放在代码和配置文件里面,需要放在系统环境变量中，不能泄漏！
jasypt.plugin.value 是要加密的明文密码
jasypt.encryptor.algorithm默认加密算法是PBEWITHHMACSHA512ANDAES_256，需要有JCE（Java Cryptography Extension）支持，如果不想安装JCE，可以使用PBEWithMD5AndDES算法。
加密后的密码如下，会带上ENC前缀ENC(e9cSG928AtAKstkN5s4TuAHm2/Sw5vX4)

加密后配置，如下所示：


spring.datasource.url=jdbc:postgresql://${PG_HOST:localhost}:5432/test_db
spring.datasource.username=test
spring.datasource.password=ENC(e9cSG928AtAKstkN5s4TuAHm2/Sw5vX4)
jasypt.encryptor.algorithm=PBEWithMD5AndDES
jasypt.encryptor.password=${JASYPT_ENCRYPTOR_PASSWORD}

完成上面的步骤后，常规的加密和解密就已经实现，是不是很简单。但对于安全性比较高的产品，可能初始密码不是固定的，而是安装时随机生成，然后也需要在SpringBoot的配置中进行加密和解密，这就是下面我要介绍的一次性随机密码的加密和解密。

一次性随机密码的加密和解密

完成上面的步骤后，代码方面的工作就全部完成，但如何实现部署时一次性随机密码呢，这就是部署脚本的工作。

我们使用Docker-Compose来配置我们的容器。比如下面的配置文件services.yml:


config-service:
    image:"${YoureREPOSITORYURL}/config.servcice:${CONFIG_SERVICE_TAG}"
    hostname: config-service
    container_name: config-service
    restart: always
    environment:
- spring.datasource.url=jdbc:postgresql://postgres:5432/config-db
- spring.datasource.username=config_user
- spring.datasource.password=POSTGRE-PASSWORD-TO-BE-CHANGED
- jasypt.encryptor.password=JASYPT-PRIVATEKEY-TO-BE-CHANGED
- spring.jpa.show-sql=true
- spring.jpa.properties.hibernate.format_sql=true
- logging.level.org.hibernate.SQL=debug

- logging.level.org.hibernate.type.descriptor.sql=trace

上面的POSTGRE-PASSWORD-TO-BE-CHANGED和JASYPT-PRIVATEKEY-TO-BE-CHANGED需要被修改成加密后的密文。

第一步，将Jasypt部署成容器

Jasypt提供了加密和解密的脚本，encrypt.sh和descrpty.sh。我们将Jasypt打包成容器后，可以使用这些命令来加密我们随机生成的密码，我们可以自己写Dockerfile来build docker image，也可以使用Docker hub上的Docker image，比如dperezcabrera/jasypt-encrypt-cli。

第二步，创建用户名和密码SQL脚本

创建数据库脚本用来创建用户和密码，其中CONFIG-USER-PASSWORD-INTENTIONALLY-NOT-MATCHED需要被随机生成的密码替换，脚本文件名为database_init_script.sql,如下实例，


create user config_user NOINHERIT password 'CONFIG-USER-PASSWORD-INTENTIONALLY-NOT-MATCHED';
revoke all on database "config-db"from config_user;
grant connect on database "config-db" to config_user;
\c config-db
revoke all on all tables in schema "public"from config_user;
grant select,update,insert,delete on all tables in schema "public" to config_user;
\z

第三步，随机生成密码

使用命令生成64位的随机密码并存储到文件中，如下实例，

cat /dev/urandom | LC_ALL=C tr -dc a-zA-Z0-9| fold -w 64| head -n 1>~/state/pw

第四步，替换随机密码

使用命令替换sql脚本中的密码为随机密码，并在此存储到文件中，下次需要读出随机密码并进行加密，如下实例,

sed -i "s|CONFIG-USER-PASSWORD-INTENTIONALLY-NOT-MATCHED|$(cat ~/state/pw)|g"/database_init_script.sql

第四步，加密随机密码

64位的随机密码产生后，需要使用Jasypt进行加密，如下实例，


JASYPT=$(cat /dev/urandom | LC_ALL=C tr -dc 'a-zA-Z0-9'| fold -w 64| head -n 1)&& \
POSTGRESQL_CONFIG=$(docker exec postgres get-random.sh)&& \
ENC_CONFIG_DB="$(docker run  encrypt.sh algorithm=PBEWITHHMACSHA512ANDAES_256 input=${POSTGRESQL_CONFIG} password=${JASYPT} ivGeneratorClassName=org.jasypt.iv.RandomIvGenerator | tail -n 3 | head -n 1 | tr -d '\r')"

首先生成随机密钥JASYPT，然后用此密钥再调用Jasypt容器的脚本生成密文，注意明文的随机密码也是运行Postgre Docker容器的脚本得到，此值就是第四步中生成的随机密码。因为都是Docker容器，所以在Postgresql容器中生成随机密码后，存储在一个文件中，然后使用一个get-random.sh脚本可以读取到此密码文件。使用的加密算法是PBEWITHHMACSHA512ANDAES_256，其他参数跟Springboot代码中的配置文件保持一致。

第五步，在SpringBoot配置文件中设置加密后的密码

生成加密密码后，需要更新SpringBoot的配置文件，我们使用Docker-Compose管理，因此需要替换Docker-Compose中的密钥和加密后的密码,即JASYPT-PRIVATEKEY-TO-BE-CHANGED和PASSWORD-TO-BE-CHANGED值。


sed -i "s|JASYPT-PRIVATEKEY-TO-BE-CHANGED|${JASYPT}|g"./services.yml &&
sed -i "s|PASSWORD-TO-BE-CHANGED|ENC(${ENC_CONFIG_DB})|g"./services.yml

写在最后

完成上面的所有步骤后，再运行Docker-compose up命令，这样就实现了从代码到最后部署一次性随机密码的整个流程，密钥也是随机生成，因此中间过程没有任何的人工干预，无从破解。但这也带来了一个风险，就是没法对数据库进行人工运维，安全性提高了，但易用性大大降低了。因此这种方式适合于安全特别高的产品，对于安全一般的产品，使用maven的jasypt plugin根据明文生成密文，并将密钥存放在环境变量中，我认为这样就足够了。