Druid的ConfigTools工具类使用了RSA非对称加密算法来进行密码加密。它通过生成公钥和私钥对来进行加密和解密操作。具体的加密原理如下:
- 首先,ConfigTools会生成一对RSA公钥和私钥。
- 原始密码会使用私钥进行加密,生成密文。ConfigTools.encrypt(String key, String plainText)
- 密文可以被保存在配置文件或数据库中,以便在需要时进行解密。
- 当需要验证密码时,可以使用公钥对密文进行解密,还原成原始密码进行比较。 ConfigTools.decrypt(String publicKeyText, String cipherText)
方法一:使用原生加解密
1、执行命令生成密文
java -cp [druid-1.1.22.jar仓库路径] [com.alibaba.druid.filter.config.ConfigTools] [密码]
示例:
java -cp druid-1.1.22.jar com.alibaba.druid.filter.config.ConfigTools 123456 # 执行结果: privateKey:MIIBVQIBADANBgkqhkiG9w0BAQEFAASCAT8wggE7AgEAAkEAu9qMgTLQ6fFvcIzpLsxLX7RWjuokaR/1JG1lht4/TUdKE5uFLzJEokIDfoITAn18j/L1eDuh3JhA5qMahXj9PwIDAQABAkAUC2jsrFBwdguvFcoX7UKprqOB0mgaM4fD4ExyDKrygtbG00665AeZofXgJ3oVmwRut0jkB43qia7tqMkwreDJAiEA9LYoekmSHZBExJu7H51RCqcThsNDYTq+ka/0f/ll7sUCIQDEhPJFkoi9+yAT8L+e099iNu50xbhM2x61yl6MJKd8MwIhAMe5mKXeQBxS8F2LQRmXe1p3bK9z1R2ZJYqgkqyUcAaFAiEAtFLpnD1hjDIqtSFsM2lmyNBu7mefPaay/0y6hQ39QVECIGXaCl+unaPVbmkVIauZPYMLrqmXW7MVEwJ7VDBx7j+i publicKey:MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALvajIEy0Onxb3CM6S7MS1+0Vo7qJGkf9SRtZYbeP01HShObhS8yRKJCA36CEwJ9fI/y9Xg7odyYQOajGoV4/T8CAwEAAQ== password:kBmEh1dmpF1QyDCx6q1Pw7LrB3XIWRNSO0CWSrV1xwpn26vrxZkYddfuxiMq2JZWfskDFrFPvrAcrN9iqov9lA==
2、修改配置
将publicKey和password和密码填写到application.xml对应位置
示例一:动态数据源配置
spring: datasource: dynamic: datasource: master: url: jdbc:mysql://127.0.0.1:3306/test_db?characterEncoding=UTF-8&useUnicode=true&useSSL=false&tinyInt1isBit=false&allowPublicKeyRetrieval=true&serverTimezone=Asia/Shanghai username: root password: kBmEh1dmpF1QyDCx6q1Pw7LrB3XIWRNSO0CWSrV1xwpn26vrxZkYddfuxiMq2JZWfskDFrFPvrAcrN9iqov9lA== druid: public-key: MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALvajIEy0Onxb3CM6S7MS1+0Vo7qJGkf9SRtZYbeP01HShObhS8yRKJCA36CEwJ9fI/y9Xg7odyYQOajGoV4/T8CAwEAAQ== driver-class-name: com.mysql.cj.jdbc.Driver
使用动态数据源时,只要配置public-key就可以,因为在下面方法中根据public-key自动设置了参数
config.decrypt,config.decrypt.key
com.baomidou.dynamic.datasource.spring.boot.autoconfigure.druid.DruidConfig#toProperties
示例二:普通数据源配置
spring.datasource.url=jdbc:mysql://localhost:3306/user?serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=UTF-8 spring.datasource.username=root # 生成的加密后的密码(原密码 password) spring.datasource.password=pqQuEhP1PPVUPN5qmFV4gh81n06B98X1mdWpg6DnVgcAOEFFMln72AuydH55Dk1yokczHP42OzoFL99xOPvN/w== # 生成的公钥 public-key=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAK2pQSm/lqbrwuDAq/aE7CwrSa7PBbqZQ/6PTeB4K7OzzFnN8pHm2ygtaSvbruFtEGElxNiAeRoZnY0SOO/sX/8CAwEAAQ== # 配置 connection-properties,启用加密,配置公钥。 spring.datasource.druid.connect-properties.config.decrypt=true spring.datasource.druid.connect-properties.config.decrypt.key=${public-key} # 启用ConfigFilter spring.datasource.druid.filter.config.enabled=true
方法二:实现密码回调类自定义加解密
密码回调可以在普通数据源和shardingsphere分库分表数据源上配置,无法在动态数据源上配置
注意:
1、shardingsphere分库分表数据源可配置密码回调,不能配置原生公钥加解密
2、动态数据源可以配置原生公钥加解密,不能配置密码回调
1、创建密码回调类
druid还支持密码加解密的扩展功能 继承DruidPasswordCallback类重写setProperties方法
@Slf4j public class DbPasswordCallback extends DruidPasswordCallback { @Override public void setProperties(Properties properties) { super.setProperties(properties); String password = properties.getProperty("password"); String publicKey = properties.getProperty("publicKey"); try { String dbpassword= ConfigTools.decrypt(publicKey,password); this.setPassword(dbpassword.toCharArray()); }catch (Exception e){ log.error("Druid数据库密码解密异常: {}", e.getMessage()); } } }
2、修改配置文件
spring.datasource.url=jdbc:mysql://localhost:3306/user?serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=UTF-8 spring.datasource.username=root spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver spring.datasource.type=com.alibaba.druid.pool.DruidDataSource # 生成的加密后的密码(原密码 password) password=pqQuEhP1PPVUPN5qmFV4gh81n06B98X1mdWpg6DnVgcAOEFFMln72AuydH55Dk1yokczHP42OzoFL99xOPvN/w== # 生成的公钥 public-key=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAK2pQSm/lqbrwuDAq/aE7CwrSa7PBbqZQ/6PTeB4K7OzzFnN8pHm2ygtaSvbruFtEGElxNiAeRoZnY0SOO/sX/8CAwEAAQ== # 配置 connection-properties,配置回调 spring.datasource.druid.password-callback-class-name=com.hj.springevent.DbPasswordCallback spring.datasource.druid.connect-properties.publicKey=${public-key} spring.datasource.druid.connect-properties.password=${password}