Spring Boot 配置文件加密方式详解

在 Spring Boot 项目中，配置文件（如 application.yml 或 application.properties）通常包含敏感信息（如数据库密码、API 密钥、第三方服务凭证等）。直接明文存储这些信息存在安全风险，因此需要对配置文件进行加密保护。以下是 Spring Boot 中常见的配置文件加密方案及实现方法。

一、为什么需要加密配置文件？

配置文件中的敏感信息（如 spring.datasource.password=123456）若以明文形式存在，可能导致：

代码泄露风险：配置文件可能被提交到代码仓库（如 Git），造成敏感信息暴露。
运维安全隐患：服务器上的配置文件可能被未授权人员读取。
合规要求：金融、医疗等行业需满足数据加密的合规标准（如 GDPR、等保）。

通过加密配置文件，即使配置文件被非法获取，攻击者也无法直接利用其中的敏感信息。

二、Spring Boot 配置文件加密的核心思路

Spring Boot 本身不直接提供配置文件加密功能，但可以通过以下两种主流方案实现：

对称加密（Symmetric Encryption）：使用同一个密钥加密和解密（如 AES）。
非对称加密（Asymmetric Encryption）：使用公钥加密、私钥解密（如 RSA）。

主流实现方式是通过 自定义 PropertySource 或集成第三方库，在 Spring Boot 启动时动态解密配置值。

三、常用加密方案及实现步骤

方案 1：Jasypt（Java Simplified Encryption）—— 对称加密（推荐）

Jasypt 是 Spring Boot 生态中最常用的配置加密工具，支持对称加密（默认 AES），配置简单且与 Spring Boot 深度集成。

步骤 1：添加依赖

在 pom.xml 中引入 Jasypt Starter：

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.5</version> <!-- 使用最新版本 -->
</dependency>

步骤 2：生成加密密钥

Jasypt 默认使用 AES 对称加密，需提供一个 加密密钥（Password）（可通过环境变量或配置文件传递，避免硬编码）。
通过 Jasypt 提供的工具类生成加密后的值（需自行编写简单代码或使用在线工具，但在线工具有密钥泄露风险，建议本地生成）。

本地生成加密值（示例代码）：

import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;

public class JasyptEncryptorDemo {
    public static void main(String[] args) {
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        encryptor.setPassword("your-secret-key"); // 设置加密密钥（需与启动时一致）
        encryptor.setAlgorithm("PBEWithMD5AndDES"); // 默认算法（也可用 PBEWITHHMACSHA512ANDAES_256）

        String plainText = "123456"; // 原始密码（如数据库密码）
        String encryptedText = encryptor.encrypt(plainText);
        System.out.println("加密结果: " + encryptedText); // 输出类似 ENC(4vZx3kL9...)
    }
}

运行后得到加密字符串（如 ENC(4vZx3kL9Gj3eRq2w1v8sA==)），将其替换配置文件中的明文。

步骤 3：修改配置文件

在 application.yml 中，将敏感值用 ENC() 包裹（Jasypt 约定前缀/后缀）：

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/mydb
    username: root
    password: ENC(4vZx3kL9Gj3eRq2w1v8sA==) # 加密后的密码

步骤 4：启动时传入加密密钥

Jasypt 通过环境变量或 JVM 参数接收加密密钥（避免硬编码在配置文件中！）：

方式 1：JVM 参数（推荐）
启动 Spring Boot 应用时添加参数： java -jar your-app.jar --jasypt.encryptor.password=your-secret-key
方式 2：环境变量
设置环境变量 JASYPT_ENCRYPTOR_PASSWORD=your-secret-key，然后正常启动应用。

关键安全实践：加密密钥（your-secret-key）必须严格保密！可通过 Kubernetes Secrets、Vault 或服务器环境变量管理，切勿直接写在代码或配置文件中。

可选配置（自定义算法/前缀后缀）

在 application.yml 中可覆盖 Jasypt 默认配置：

jasypt:
  encryptor:
    algorithm: PBEWITHHMACSHA512ANDAES_256 # 更安全的算法（需 JDK 支持）
    password: your-secret-key             # 与启动参数一致（但建议通过环境变量传入）
    property:
      prefix: "ENC("                      # 加密值前缀（默认 ENC(）
      suffix: ")"                         # 加密值后缀（默认 )）

方案 2：非对称加密（RSA）—— 更安全的密钥分离

若需更高安全性（如密钥分离），可使用 RSA 非对称加密（公钥加密、私钥解密）。Spring Boot 原生不直接支持，但可通过自定义 PropertySource 实现。

核心步骤：

生成 RSA 密钥对（公钥/私钥）：
使用 OpenSSL 或 Java 工具生成： # 生成私钥 openssl genrsa -out private_key.pem 2048 # 从私钥提取公钥 openssl rsa -in private_key.pem -pubout -out public_key.pem
加密敏感值：
用公钥加密原始配置值（如数据库密码），得到密文（Base64 编码）。可通过 Java 代码或在线工具（确保安全）完成。
自定义 PropertySource：
在 Spring Boot 启动时，通过自定义 PropertySource 用私钥解密配置值（需编写解密逻辑，参考 org.springframework.core.env.PropertySource）。

缺点：实现复杂度高，需自行处理密钥存储（私钥通常放在服务器安全目录或密钥管理服务如 HashiCorp Vault 中）。一般中小项目推荐 Jasypt 对称加密。

方案 3：Spring Cloud Config + Vault（企业级方案）

对于分布式系统（如微服务），可使用 Spring Cloud Config Server 结合 HashiCorp Vault 或 AWS Secrets Manager 等专业密钥管理服务：

Vault：专门存储和管理敏感数据，支持动态密钥轮换、访问控制。
AWS Secrets Manager：与 AWS 生态无缝集成，自动管理密钥生命周期。

实现流程：

将敏感配置（如数据库密码）存储在 Vault 中。
Spring Cloud Config Server 从 Vault 动态获取解密后的配置。
微服务通过 Config Server 获取最终配置（无需本地存储明文）。

适用场景：大型分布式系统，需集中管理多服务的敏感信息。

四、最佳实践与注意事项

密钥管理：
- 加密密钥（如 Jasypt 的 password 或 RSA 私钥）必须通过环境变量、Kubernetes Secrets 或专用密钥管理服务传递，禁止硬编码！
- 生产环境的密钥与开发/测试环境隔离。
避免过度加密：
- 仅加密真正敏感的信息（如密码、API 密钥），非敏感配置（如服务端口）可保持明文。
加密算法选择：
- Jasypt 默认的 PBEWithMD5AndDES 已较老旧，推荐使用 PBEWITHHMACSHA512ANDAES_256（需 JDK 支持）。
- 非对称加密（RSA）适合密钥分离场景，但实现成本更高。
配置文件检查：
- 加密后务必测试应用启动，确保解密逻辑正常（如配置值未正确解密会导致连接失败）。

五、总结

方案	加密类型	实现难度	安全性	适用场景
Jasypt（推荐）	对称加密（AES）	低	中高	中小型项目，快速集成
RSA 非对称加密	非对称加密	中	高	需密钥分离的高安全需求
Vault/Config Server	专业密钥管理	高	极高	企业级微服务，分布式系统