SrpingDruid数据源加密数据库密码的示例代码
作者:叶莜落 发布时间:2021-06-21 03:26:26
前言
在工作中遇到这样一个问题:开发过程中将数据库的账号、密码等信息配置在了一个单独的properties配置文件中(使用明文)。但运维人员要求在配置文件中的密码一律不得出现明文。
环境
Spring 4.2.6.RELEASE
MyBatis 3.4.1
Druid 1.0.14
改造思路
一般spring容器启动时,通过PropertyPlaceholderConfigurer类读取jdbc.properties文件里的数据库配置信息。通过这个原理,我们把加密后的数据库配置信息放到jdbc.properties文件里,然后自定义一个继承PropertyPlaceholderConfigurer的类重写processProperties方法,实现解密,把解密后的信息又放回去。
而Druid已经帮我们实现了上面的功能,我们只需要更改相关的配置即可。
1.生成数据库密码密文,替换明文。
2.更改spring配置文件中的数据源配置,开启数据库密码解密。
改造过程
项目源码地址
生成密文
在druid-1.0.14.jar所在目录执行命令
java -cp druid-1.0.14.jar com.alibaba.druid.filter.config.ConfigTools <YOUR_DB_PASSWORD>
生成对应的密文,复制到数据库配置文件中。
更改Druid数据源配置
开启数据库密码解密,在<bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource"></bean>
中添加如下属性:
<property name="connectionProperties" value="config.decrypt=true" />
遇到的问题
遇到以下错误:
[20/10/17 12:30:29:029 CST] Druid-ConnectionPool-Create-1225284770 ERROR pool.DruidDataSource: create connection error, url: jdbc:mysql://localhost:3306/common?useUnicode=true&characterEncoding=utf-8
java.sql.SQLException: Access denied for user 'root'@'localhost' (using password: YES)
at com.mysql.jdbc.SQLError.createSQLException(SQLError.java:1084)
at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:4232)
at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:4164)
at com.mysql.jdbc.MysqlIO.checkErrorPacket(MysqlIO.java:926)
at com.mysql.jdbc.MysqlIO.proceedHandshakeWithPluggableAuthentication(MysqlIO.java:1748)
at com.mysql.jdbc.MysqlIO.doHandshake(MysqlIO.java:1288)
at com.mysql.jdbc.ConnectionImpl.coreConnect(ConnectionImpl.java:2506)
at com.mysql.jdbc.ConnectionImpl.connectOneTryOnly(ConnectionImpl.java:2539)
at com.mysql.jdbc.ConnectionImpl.createNewIO(ConnectionImpl.java:2321)
at com.mysql.jdbc.ConnectionImpl.<init>(ConnectionImpl.java:832)
at com.mysql.jdbc.JDBC4Connection.<init>(JDBC4Connection.java:46)
at sun.reflect.GeneratedConstructorAccessor4.newInstance(Unknown Source)
at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45)
at java.lang.reflect.Constructor.newInstance(Constructor.java:526)
at com.mysql.jdbc.Util.handleNewInstance(Util.java:409)
at com.mysql.jdbc.ConnectionImpl.getInstance(ConnectionImpl.java:417)
at com.mysql.jdbc.NonRegisteringDriver.connect(NonRegisteringDriver.java:344)
at com.alibaba.druid.filter.FilterChainImpl.connection_connect(FilterChainImpl.java:148)
at com.alibaba.druid.filter.stat.StatFilter.connection_connect(StatFilter.java:211)
at com.alibaba.druid.filter.FilterChainImpl.connection_connect(FilterChainImpl.java:142)
at com.alibaba.druid.pool.DruidAbstractDataSource.createPhysicalConnection(DruidAbstractDataSource.java:1377)
at com.alibaba.druid.pool.DruidAbstractDataSource.createPhysicalConnection(DruidAbstractDataSource.java:1431)
at com.alibaba.druid.pool.DruidDataSource$CreateConnectionThread.run(DruidDataSource.java:1861)
也就是说,加解密并没有生效,因此数据库认为密码错误,拒绝连接。
经对比,发现数据源中的<property name="filters" value="mergeStat" />
属性值不对,应该为<property name="filters" value="stat,config" />
。
为什么filters为mergeStat就不对呢?
查看src/main/java/com/alibaba/druid/filter/config/ConfigFilter.java源码:
在注释43行,可以看到dataSource.setFilters("config");
,因此这里不是说mergeStat不行,而是缺少config的配置。
更多配置请参考wiki。
总结
必须为spring项目,否则无法生效。在只含MyBatis和Druid(不含spring)的程序中使用上面的改造,发现还是无法正确连接数据库。
Druid dataSource配置中filters属性不应为mergeStat,否则无法生效。
为Druid数据源打call,说它是优秀的Java数据源一点也不为过。
升级druid到高版本
参考资料:druid wiki:使用ConfigFilter
主要变化有两处:
1.生成的密码有公钥、私钥、签名之分。
2.配置文件中需要配置签名和公钥,spring配置文件也需要相应更改为:
<property name="connectionProperties" value="config.decrypt=true;config.decrypt.key=${publickey}" />
错误:failed to decrypt 和 java.security.NoSuchAlgorithmException:Cannot find any provider supporting RSA/ECB/PKCS1Padding
进一步说明:该问题在Eclipse直接启动中不会出现,但部署到服务器上会出现。
原因:在解密步骤中出错,找不到支持RSA/ECB/PKCS1Padding等和解密相关的算法相关的提供者。
解决:将${JAVA_HOME}\lib\ext目录下的sunjce_provider.jar添加到classpath目录下。
补充:在Druid github issues中作者温少将该问题标记为bug,但我认为这只是环境问题,不属于Druid本身的bug。
来源:http://www.cnblogs.com/helloIT/p/7761921.html?utm_source=tuicool&utm_medium=referral
猜你喜欢
- ImageCacheconst int _kDefaultSize = 1000;const int _kDefaultSizeBytes
- SpringBoot整合第三方技术一、整合Junit新建一个SpringBoot项目使用@SpringBootTest标签在test测试包内
- 具体详细介绍请看下文:在使用文件进行交互数据的应用来说,使用FTP服务器是一个很好的选择。本文使用Apache Jakarta Common
- 对于大文件的处理,无论是用户端还是服务端,如果一次性进行读取发送、接收都是不可取,很容易导致内存问题。所以对于大文件上传,采用切块分段上传,
- 1.引入如下依赖<dependency> <groupId>org.spri
- Filter简介Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器管理的所
- Sentinel是阿里巴巴开源的限流器熔断器,并且带有可视化操作界面。在日常开发中,限流功能时常被使用,用于对某些接口进行限流熔断,譬如限制
- 实现HandlerInterceptor接口或者继承HandlerInterceptor的子类,比如Spring 已经提供的实现了Handl
- 本文实例讲述了Java截取字符串的方法。分享给大家供大家参考。具体实现方法如下:public static void main(String
- 全面解析java注解Java中的常见注解 a.JDK中的注解 @Override 覆盖父类或者父接口的方
- 一、饿汉式单例类public class Singleton { privat
- 首先先简单的说一下其3大特性的定义:封装:隐藏对象的属性和实现细节,仅对外公开接口,控制在程序中属性的读和修改的访问级别。将抽象得到的数据和
- 题目要求思路一:暴力模拟由于数据范围不算离谱,所以直接遍历解决可行。Javaclass Solution { pu
- 定义:动态给一个对象添加一些额外的职责,就象在墙上刷油漆.使用Decorator模式相比用生成子类方式达到功能的扩充显得更为灵活。设计初衷:
- 一、方法这里我们用两种方法来实现跑马灯效果,虽然实质上是一种实质就是:1、TextView调出跑马灯效果2、TextView获取焦点&nbs
- Java中有四种权限修饰符publicprotected(default)private同一个类yesyesyesyes同一个包yesyes
- 一、加密方案介绍对接口的加密解密操作主要有下面两种方式:自定义消息转换器优势:仅需实现接口,配置简单。劣势:仅能对同一类型的MediaTyp
- 在本文中,我们将介绍二进制搜索相对于简单线性搜索的优势,并介绍它在 Java 中的实现。1. 需要有效的搜索假设我们在wine-sellin
- 在正式的进入主题之前,我们先来了解下深拷贝和前拷贝的概念:浅拷贝:会创建一个新对象,这个对象有着原始对象属性值的一份精确拷贝,如果属性是基本
- 1.接口中的默认方法和静态方法Java 8中允许接口中包含具有具体实现的方法,该方法称为 “默认方法” ,默认方法使用 default 关键