druid加解密功能

对于线上环境和运维来说，都不希望数据库密码以明文的形式写在配置文件中，druid支持对密码使用RSA算法进行加密。

 

druid的加解密类是ConfigTools，这个类提供生成公钥、私钥、密文、加密、解密等一系列方法。

我们可以通过main方法对我们的密码进行加密：

public class ConfigTools {

    private static final String DEFAULT_PRIVATE_KEY_STRING = "MIIBVAIBADANBgkqhkiG9w0BAQEFAASCAT4wggE6AgEAAkEAocbCrurZGbC5GArEHKlAfDSZi7gFBnd4yxOt0rwTqKBFzGyhtQLu5PRKjEiOXVa95aeIIBJ6OhC2f8FjqFUpawIDAQABAkAPejKaBYHrwUqUEEOe8lpnB6lBAsQIUFnQI/vXU4MV+MhIzW0BLVZCiarIQqUXeOhThVWXKFt8GxCykrrUsQ6BAiEA4vMVxEHBovz1di3aozzFvSMdsjTcYRRo82hS5Ru2/OECIQC2fAPoXixVTVY7bNMeuxCP4954ZkXp7fEPDINCjcQDywIgcc8XLkkPcs3Jxk7uYofaXaPbg39wuJpEmzPIxi3k0OECIGubmdpOnin3HuCP/bbjbJLNNoUdGiEmFL5hDI4UdwAdAiEAtcAwbm08bKN7pwwvyqaCBC//VnEWaq39DCzxr+Z2EIk=";
    public static final String DEFAULT_PUBLIC_KEY_STRING = "MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAKHGwq7q2RmwuRgKxBypQHw0mYu4BQZ3eMsTrdK8E6igRcxsobUC7uT0SoxIjl1WveWniCASejoQtn/BY6hVKWsCAwEAAQ==";

    public static void main(String[] args) throws Exception {
        String password = args[0];
        String[] arr = genKeyPair(512);
        System.out.println("privateKey:" + arr[0]);
        System.out.println("publicKey:" + arr[1]);
        System.out.println("password:" + encrypt(arr[0], password));
    }
　　...
}

我们运行这个main方法，传入明文：

 

 运行之后在控制台会输出公钥、和私钥以及加密后的密文

 

在生成我们需要的公、私钥以及密文后，我们就可以使用加密后的密码进行配置数据源。

    public static DataSource dataSource() throws SQLException {
        DruidDataSource dataSource = new DruidDataSource();
        dataSource.setUrl("jdbc:mysql://127.0.0.1:3306/ds0?serverTimezone=UTC");
        dataSource.setUsername("root");
        dataSource.setDriverClassName("com.mysql.cj.jdbc.Driver");
         //添加Configfilter,该filter初始化后主要实现对密文的解密
        dataSource.setFilters("config");
        //设置是否解密为true
        dataSource.setConnectionProperties("config.decrypt=true");
        //使用公钥解密 传入公钥串，如果没有传入公钥，则会使用默认的公钥
        dataSource.setConnectionProperties("config.decrypt.key=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAIq+sud+LQwa2kjdVJOWewaqX0Bw0m0eHaRSwifmc+W6o/CFYAthoAem33Xi3MYtXsHumskHr9eIcEFjNyxloq0CAwEAAQ==");
        //加密后的密码
        dataSource.setPassword("e67LBYk981SvjeKbT/H6tYXjtoKDqOU2+s0+JAeUealvs64lJCCG8UgX6Z5yX6I8wtKdcjF4nUnwQPjXIMnhpg==");
        return dataSource;
    }

 

这样数据源就配置好了，在我们获取连接的时候druid会自动使用公钥解密该密码。具体逻辑在ConfigFilter中。我们看一下：

在调用DruiddataSource.getConnection的时候会对druid连接池进行初始化，初始化的过程中会初始化Filter。

public void init(DataSourceProxy dataSourceProxy) {
        if (!(dataSourceProxy instanceof DruidDataSource)) {
            LOG.error("ConfigLoader only support DruidDataSource");
        }

        DruidDataSource dataSource = (DruidDataSource) dataSourceProxy;
        Properties connectionProperties = dataSource.getConnectProperties();

        Properties configFileProperties = loadPropertyFromConfigFile(connectionProperties);

        // 判断是否需要解密，如果需要就进行解密行动
        boolean decrypt = isDecrypt(connectionProperties, configFileProperties);

        if (configFileProperties == null) {
            if (decrypt) {
                decrypt(dataSource, null);
            }
            return;
        }

        if (decrypt) {
            decrypt(dataSource, configFileProperties);
        }

        try {
            DruidDataSourceFactory.config(dataSource, configFileProperties);
        } catch (SQLException e) {
            throw new IllegalArgumentException("Config DataSource error.", e);
        }
    }

 

从代码中可以看出来，初始化该Filter的时候密码就已经被解密了，并且将明文密码重新设置在数据源属性中。