澳门巴黎人注册送57元现金

SrpingDruid数据源加密数据库密码

小说:澳门巴黎人注册送57元现金作者:侯石乙开更新时间:2018-08-19字数:90776

SrpingDruid数据源加密数据库密码


文章首发于我的github博客

前言

在工作中遇到这样一个问题:开发过程中将数据库的账号、密码等信息配置在了一个单独的properties配置文件中(使用明文)。但运维人员要求在配置文件中的密码一律不得出现明文。

环境

  • Spring 4.2.6.RELEASE
  • MyBatis 3.4.1
  • Druid 1.0.14

改造思路

一般spring容器启动时,通过PropertyPlaceholderConfigurer类读取jdbc.properties文件里的数据库配置信息。通过这个原理,我们把加密后的数据库配置信息放到jdbc.properties文件里,然后自定义一个继承PropertyPlaceholderConfigurer的类重写processProperties方法,实现解密,把解密后的信息又放回去。
而Druid已经帮我们实现了上面的功能,我们只需要更改相关的配置即可。

  1. 生成数据库密码密文,替换明文。
  2. 更改spring配置文件中的数据源配置,开启数据库密码解密。

改造过程

项目源码地址

生成密文

在druid-1.0.14.jar所在目录执行命令
java -cp druid-1.0.14.jar com.alibaba.druid.filter.config.ConfigTools <YOUR_DB_PASSWORD>
生成对应的密文,复制到数据库配置文件中。

更改Druid数据源配置

开启数据库密码解密,在<bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource"></bean>
中添加如下属性:
<property name="connectionProperties" value="config.decrypt=true" />

遇到的问题

遇到以下错误:

[20/10/17 12:30:29:029 CST] Druid-ConnectionPool-Create-1225284770 ERROR pool.DruidDataSource: create connection error, url: jdbc:mysql://localhost:3306/common?useUnicode=true&characterEncoding=utf-8
java.sql.SQLException: Access denied for user "root"@"localhost" (using password: YES)
    at com.mysql.jdbc.SQLError.createSQLException(SQLError.java:1084)
    at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:4232)
    at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:4164)
    at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:926)
    at com.mysql.jdbc.MysqlIO.proceedHandshakeWithPluggableAuthentication(MysqlIO.java:1748)
    at com.mysql.jdbc.MysqlIO.doHandshake(MysqlIO.java:1288)
    at com.mysql.jdbc.ConnectionImpl.coreConnect(ConnectionImpl.java:2506)
    at com.mysql.jdbc.ConnectionImpl.connectOneTryOnly(ConnectionImpl.java:2539)
    at com.mysql.jdbc.ConnectionImpl.createNewIO(ConnectionImpl.java:2321)
    at com.mysql.jdbc.ConnectionImpl.<init>(ConnectionImpl.java:832)
    at com.mysql.jdbc.JDBC4Connection.<init>(JDBC4Connection.java:46)
    at sun.reflect.GeneratedConstructorAccessor4.newInstance(Unknown Source)
    at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45)
    at java.lang.reflect.Constructor.newInstance(Constructor.java:526)
    at com.mysql.jdbc.Util.handleNewInstance(Util.java:409)
    at com.mysql.jdbc.ConnectionImpl.getInstance(ConnectionImpl.java:417)
    at com.mysql.jdbc.NonRegisteringDriver.connect(NonRegisteringDriver.java:344)
    at com.alibaba.druid.filter.FilterChainImpl.connection_connect(FilterChainImpl.java:148)
    at com.alibaba.druid.filter.stat.StatFilter.connection_connect(StatFilter.java:211)
    at com.alibaba.druid.filter.FilterChainImpl.connection_connect(FilterChainImpl.java:142)
    at com.alibaba.druid.pool.DruidAbstractDataSource.createPhysicalConnection(DruidAbstractDataSource.java:1377)
    at com.alibaba.druid.pool.DruidAbstractDataSource.createPhysicalConnection(DruidAbstractDataSource.java:1431)
    at com.alibaba.druid.pool.DruidDataSource$CreateConnectionThread.run(DruidDataSource.java:1861)

也就是说,加解密并没有生效,因此数据库认为密码错误,拒绝连接。
经对比,发现数据源中的<property name="filters" value="mergeStat" />属性值不对,应该为<property name="filters" value="stat,config" />
为什么filters为mergeStat就不对呢?
查看src/main/java/com/alibaba/druid/filter/config/ConfigFilter.java源码:
在注释43行,可以看到dataSource.setFilters("config");,因此这里不是说mergeStat不行,而是缺少config的配置。
更多配置请参考wiki。

总结

  • 必须为spring项目,否则无法生效。在只含MyBatis和Druid(不含spring)的程序中使用上面的改造,发现还是无法正确连接数据库。
  • Druid dataSource配置中filters属性不应为mergeStat,否则无法生效。
  • 为Druid数据源打call,说它是优秀的Java数据源一点也不为过。

升级druid到高版本

参考资料:druid wiki:使用ConfigFilter
主要变化有两处

  1. 生成的密码有公钥、私钥、签名之分。
  2. 配置文件中需要配置签名和公钥,spring配置文件也需要相应更改为:
    <property name="connectionProperties" value="config.decrypt=true;config.decrypt.key=${publickey}" />

错误:failed to decrypt 和 java.security.NoSuchAlgorithmException:Cannot find any provider supporting RSA/ECB/PKCS1Padding



进一步说明:该问题在Eclipse直接启动中不会出现,但部署到服务器上会出现。
原因:在解密步骤中出错,找不到支持RSA/ECB/PKCS1Padding等和解密相关的算法相关的提供者。
解决:将${JAVA_HOME}libext目录下的sunjce_provider.jar添加到classpath目录下。
补充:在Druid github issues中作者温少将该问题标记为bug,但我认为这只是环境问题,不属于Druid本身的bug。

参考

  • Spring 数据库配置用户名和密码加密
  • 使用durid的ConfigFilter对数据库密码加密
  • 配置_StatFilter

当前文章:http://www.leetaemin.cn/22714.html

发布时间:2018-08-19 05:30:11

彩金g750项链图片 海洋之神娱乐注册送55元彩金 神话娱乐注册送61元 同乐城开户送31元彩金 大发888娱乐注册送43元彩金 棋牌游戏开户送26元彩金 注册送钱的娱乐网站 注册送红包赚钱 下载咨询端送彩金 免费注册送彩金

9号赌城注册送74元 注册送18现金娱乐平台 无需申请即送68元现金首页 AG开户送91元现金可提现 中信国际娱 那个捕鱼游戏最好玩手机版大王洲娱乐项目 金花娱乐厅捕鱼游戏 海底娱乐开户

我要说两句: (0人参与)

发布