Как использовать зашифрованный пароль в apache BasicDataSource?
В настоящее время я сохраняю пароль [незашифрованный] в файле свойств. Этот пароль будет помещен в конфигурацию xml с помощью ant.
[Конфигурация xml предназначена для источника данных, она создает объект dbcp.BasicDataSource]
Теперь, возможно ли, что после цели ant пароль будет скопирован в зашифрованном виде. Слышал, что Джасыпт может это сделать! До сих пор я этого не пробовал. Но проблема здесь не заканчивается. BasicDataSource не принимает зашифрованный пароль. Есть ли замена для BasicDatasource.
FYI: Я использую Spring, если это имеет значение.
Ответы
Ответ 1
Создайте новую задачу, расширив существующую задачу Copy (ответственную за копию файла). Создайте новый тип, расширив FilterSet (отвечающий за фильтрацию токенов).
см. код здесь: -
Как создать вложенный элемент для задачи ant?
build.xml
<target name="encrypted-copy" >
<CopyEncrypted todir="dist/xyz/config" overwrite="true">
<fileset dir="config"/>
<encryptionAwareFilterSet>
<filtersfile file="conf/properties/blah-blah.properties" />
</encryptionAwareFilterSet>
</CopyEncrypted>
</target>
blah-blah.properties
property1=value1
property2=value2
PASSWORD=^&YUII%%&*(
USERNAME=rjuyal
CONNECTION_URL=...
someotherproperty=value
конфигурация xml
<bean id="dataSource"
class="com.xyz.datasource.EncryptionAwareDataSource"
destroy-method="close" autowire="byName">
<property name="driverClassName">
<value>com.ibm.db2.jcc.DB2Driver</value>
</property>
<property name="url">
<value>@[email protected]</value>
</property>
<property name="username">
<value>@[email protected]</value>
</property>
<property name="password">
<value>@[email protected]</value>
</property>
<property name="poolPreparedStatements">
<value>true</value>
</property>
<property name="maxActive">
<value>10</value>
</property>
<property name="maxIdle">
<value>10</value>
</property>
</bean>
...
...
...
После выполнения цели xml копируется со значениями из файла свойств. Пароль будет зашифрован.
Это будет обрабатывать зашифрованный пароль.
EncryptionAwareDataSource
public class EncryptionAwareDataSource extends BasicDataSource{
@Override
public synchronized void setPassword(String password) {
super.setPassword(Encryptor.getDecryptedValue( password ));
}
}
Что 'все;)
Ответ 2
С Spring существует лучший способ: используйте класс PropertyPlaceholderConfigurer.
<bean class="org.springframework.beans.factory.config.PropertyPlaceholderConfigurer">
<property name="locations">
<value>classpath:com/foo/jdbc.properties</value>
</property>
<property name="propertiesPersister">
<bean class="com.mycompany.MyPropertyPersister" />
</property>
</bean>
<bean id="dataSource" destroy-method="close"
class="org.apache.commons.dbcp.BasicDataSource">
<property name="driverClassName" value="${jdbc.driverClassName}"/>
<property name="url" value="${jdbc.url}"/>
<property name="username" value="${jdbc.username}"/>
<property name="password" value="${jdbc.password}"/>
</bean>
Когда вы указываете подкласс PropertiesPersister в заполнитель свойства, Spring загрузите jdbc.properties и расшифруйте файл, используя класс. Может быть, что-то вроде:
public class MyPropertyPersister extends DefaultPropertiesPersister
{
// ... initializing stuff...
public void load(Properties props, InputStream is) throws IOException
{
Cipher decrypter = getCipher();
InputStream cis = new CipherInputStream(is, decrypter);
super.load(props, cis);
}
public void load(Properties props, Reader reader) throws IOException
{
ByteArrayOutputStream baos = new ByteArrayOutputStream();
IOUtils.copy(reader, baos);
ByteArrayInputStream bais = new ByteArrayInputStream(baos.toByteArray());
Cipher decrypter = getCipher();
InputStream cis = new CipherInputStream(bais, decrypter);
InputStreamReader realReader = new InputStreamReader(cis);
super.load(props, realReader);
}
public void loadFromXml(Properties props, InputStream is) throws IOException
{
Cipher decrypter = getCipher();
InputStream cis = new CipherInputStream(is, decrypter);
super.loadFromXml(props, cis);
}
private Cipher getCipher()
{
// return a Cipher to read the encrypted properties file
...
}
...
}
Надеюсь, что это поможет.
ИЗМЕНИТЬ
Если вы используете Jasypt, вам не нужно определять PropertiesPersister. Из Документация Jasypt:
Jasypt предоставляет реализацию этих связанных с конфигурацией классов Spring, которые могут читать файлы .properties с зашифрованными значениями (такими как управляемые классом EncryptableProperties) и прозрачно обрабатывать их с остальной частью приложения Spring beans.
С помощью этого вы можете определить jdbc.properties следующим образом
jdbc.driver=com.mysql.jdbc.Driver
jdbc.url=jdbc:mysql://localhost/reportsdb
jdbc.username=reportsUser
jdbc.password=ENC(G6N718UuyPE5bHyWKyuLQSm02auQPUtm)
и конфигурация Spring может быть такой:
<bean class="org.jasypt.spring.properties.EncryptablePropertyPlaceholderConfigurer">
<constructor-arg>
<bean class="org.jasypt.encryption.pbe.StandardPBEStringEncryptor">
<property name="config">
<bean class="org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig">
<property name="algorithm" value="PBEWithMD5AndDES" />
<property name="passwordEnvName" value="APP_ENCRYPTION_PASSWORD" />
</bean>
</property>
</bean>
</constructor-arg>
<property name="locations">
<list>
<value>/WEB-INF/classes/jdbc.properties</value>
</list>
</property>
</bean>
<bean id="dataSource" destroy-method="close"
class="org.apache.commons.dbcp.BasicDataSource">
<property name="driverClassName" value="${jdbc.driverClassName}"/>
<property name="url" value="${jdbc.url}"/>
<property name="username" value="${jdbc.username}"/>
<property name="password" value="${jdbc.password}"/>
</bean>
Таким образом, вы можете поместить пароль для дешифрования скрытого свойства в переменной среды при запуске приложения и позже его отключить.
Ответ 3
Следующая ссылка jasypt объясняет, как файл свойств, содержащий зашифрованный контент, может быть прочитан из вашего приложения:
http://www.jasypt.org/encrypting-configuration.html
Чтобы создать файл свойств из ANT, мое предложение состоит в том, чтобы использовать задачу groovy следующим образом:
<taskdef name="groovy" classname="org.codehaus.groovy.ant.Groovy"/>
<groovy>
import org.jasypt.encryption.pbe.StandardPBEStringEncryptor
def encryptor = new StandardPBEStringEncryptor();
encryptor.setPassword("secret");
def f = new File("config.properties")
f.println "datasource.driver=com.mysql.jdbc.Driver"
f.println "datasource.url=jdbc:mysql://localhost/reportsdb"
f.println "datasource.username=reportsUser"
f.println "datasource.password=ENC("+encryptor.encrypt("dbpassword")+")"
</groovy>
Ответ 4
Не совсем верно в случае BasicDataSource.
Если вы читаете javadocs для BasicDataSource, setPassword() не имеет эффекта после инициализации пула. Пул инициализируется при первом вызове одного из следующих методов: getConnection, setLogwriter, setLoginTimeout, getLoginTimeout, getLogWriter.
Ссылка: http://www.docjar.com/html/api/org/apache/commons/dbcp/BasicDataSource.java.html
Все эти методы в конечном итоге вызывают createDataSource().
Таким образом, вашему новому классу BasicDataSource необходимо переопределить метод createDataSource()
Что-то вроде этого:
public class NewBasicDataSource extends BasicDataSource {
protected synchronized DataSource createDataSource() throws SQLException {
String decryptedPassword = decryptPassword( super.getPassword() );
super.setPassword( decryptedPassword );
return super.createDataSource();
}
private String decryptPassword( String password ) {
return //logic to decrypt current password
}
}
Ответ 5
Расширить BasicDataSource, переопределить методы setPassword и setUserName. Расшифруйте значения в этих методах и передайте их методам суперкласса.
