druid加解密功能
对于线上环境和运维来说,都不希望数据库密码以明文的形式写在配置文件中,druid支持对密码使用RSA算法进行加密。
druid的加解密类是ConfigTools,这个类提供生成公钥、私钥、密文、加密、解密等一系列方法。
我们可以通过main方法对我们的密码进行加密:
public class ConfigTools { private static final String DEFAULT_PRIVATE_KEY_STRING = "MIIBVAIBADANBgkqhkiG9w0BAQEFAASCAT4wggE6AgEAAkEAocbCrurZGbC5GArEHKlAfDSZi7gFBnd4yxOt0rwTqKBFzGyhtQLu5PRKjEiOXVa95aeIIBJ6OhC2f8FjqFUpawIDAQABAkAPejKaBYHrwUqUEEOe8lpnB6lBAsQIUFnQI/vXU4MV+MhIzW0BLVZCiarIQqUXeOhThVWXKFt8GxCykrrUsQ6BAiEA4vMVxEHBovz1di3aozzFvSMdsjTcYRRo82hS5Ru2/OECIQC2fAPoXixVTVY7bNMeuxCP4954ZkXp7fEPDINCjcQDywIgcc8XLkkPcs3Jxk7uYofaXaPbg39wuJpEmzPIxi3k0OECIGubmdpOnin3HuCP/bbjbJLNNoUdGiEmFL5hDI4UdwAdAiEAtcAwbm08bKN7pwwvyqaCBC//VnEWaq39DCzxr+Z2EIk="; public static final String DEFAULT_PUBLIC_KEY_STRING = "MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAKHGwq7q2RmwuRgKxBypQHw0mYu4BQZ3eMsTrdK8E6igRcxsobUC7uT0SoxIjl1WveWniCASejoQtn/BY6hVKWsCAwEAAQ=="; public static void main(String[] args) throws Exception { String password = args[0]; String[] arr = genKeyPair(512); System.out.println("privateKey:" + arr[0]); System.out.println("publicKey:" + arr[1]); System.out.println("password:" + encrypt(arr[0], password)); }
...
}
我们运行这个main方法,传入明文:
运行之后在控制台会输出公钥、和私钥以及加密后的密文
在生成我们需要的公、私钥以及密文后,我们就可以使用加密后的密码进行配置数据源。
public static DataSource dataSource() throws SQLException { DruidDataSource dataSource = new DruidDataSource(); dataSource.setUrl("jdbc:mysql://127.0.0.1:3306/ds0?serverTimezone=UTC"); dataSource.setUsername("root"); dataSource.setDriverClassName("com.mysql.cj.jdbc.Driver");
//添加Configfilter,该filter初始化后主要实现对密文的解密 dataSource.setFilters("config");
//设置是否解密为true dataSource.setConnectionProperties("config.decrypt=true");
//使用公钥解密 传入公钥串,如果没有传入公钥,则会使用默认的公钥 dataSource.setConnectionProperties("config.decrypt.key=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAIq+sud+LQwa2kjdVJOWewaqX0Bw0m0eHaRSwifmc+W6o/CFYAthoAem33Xi3MYtXsHumskHr9eIcEFjNyxloq0CAwEAAQ=="); //加密后的密码
dataSource.setPassword("e67LBYk981SvjeKbT/H6tYXjtoKDqOU2+s0+JAeUealvs64lJCCG8UgX6Z5yX6I8wtKdcjF4nUnwQPjXIMnhpg=="); return dataSource; }
这样数据源就配置好了,在我们获取连接的时候druid会自动使用公钥解密该密码。具体逻辑在ConfigFilter中。我们看一下:
在调用DruiddataSource.getConnection的时候会对druid连接池进行初始化,初始化的过程中会初始化Filter。
public void init(DataSourceProxy dataSourceProxy) { if (!(dataSourceProxy instanceof DruidDataSource)) { LOG.error("ConfigLoader only support DruidDataSource"); } DruidDataSource dataSource = (DruidDataSource) dataSourceProxy; Properties connectionProperties = dataSource.getConnectProperties(); Properties configFileProperties = loadPropertyFromConfigFile(connectionProperties); // 判断是否需要解密,如果需要就进行解密行动 boolean decrypt = isDecrypt(connectionProperties, configFileProperties); if (configFileProperties == null) { if (decrypt) { decrypt(dataSource, null); } return; } if (decrypt) { decrypt(dataSource, configFileProperties); } try { DruidDataSourceFactory.config(dataSource, configFileProperties); } catch (SQLException e) { throw new IllegalArgumentException("Config DataSource error.", e); } }
从代码中可以看出来,初始化该Filter的时候密码就已经被解密了,并且将明文密码重新设置在数据源属性中。