在 Spring Boot 应用中，直接在配置文件（如 application.yml 或 application.properties）中明文存储数据库密码、API 密钥等敏感信息是严重的安全风险，尤其是在代码仓库或生产环境中。

为了提升安全性，需要对配置文件中的敏感信息进行加密处理（密文），并在应用启动时自动解密。

一、使用 Jasypt（最常用）

Jasypt 是一个流行的 Java 加解密库，与 Spring Boot 集成非常方便。

1. 添加依赖

<dependency>
<groupId>com.github.ulisesbocchio</groupId>
<artifactId>jasypt-spring-boot-starter</artifactId>
<version>3.0.5</version>
</dependency>

2. 加密敏感数据（命令行工具）

# 下载 jasypt 包或使用 Maven 插件
java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI \
input="mysecretdbpassword" \
password=masterkey \
algorithm=PBEWithMD5AndDES

输出：

**** Encrypted with DEFAULT algorithm 
ENC(v98Dv8f3p+2qQ1234567890=)

3. 在配置文件中使用密文

# application.yml
spring:
  datasource:
    url: jdbc:mysql://localhost:3306/mydb
    username: root
    password: ENC(v98Dv8f3p+2qQ1234567890=)  # 使用 ENC() 包裹密文

# 配置 jasypt 解密密钥
jasypt:
  encryptor:
    password: masterkey  # 解密主密钥（必须安全存储）

也可以通过环境变量传入主密钥：

java -jar app.jar --jasypt.encryptor.password=${DECRYPT_KEY}

4. 启动应用

Jasypt 会自动解密 ENC(...) 中的内容并注入到 Spring 容器中。

二、使用 阿里云 KMS + ACMS（云原生方案）

如果你的应用部署在阿里云，推荐使用 ACMS（应用配置管理） 或 KMS（密钥管理服务） 实现更安全的密钥管理。

特点：

• 密钥由 KMS 托管，不存储在本地。
• 配置集中管理，支持动态更新。
• 支持自动轮换密钥。

集成方式：

• 将敏感配置存储在 ACMS/Nacos 配置中心。
• 使用 KMS 对配置值进行加密。
• 应用启动时通过 SDK 从 ACMS 获取配置，并用 KMS 解密。

三、使用 HashiCorp Vault

Vault 是一个开源的 secrets 管理工具，功能强大。

集成步骤：

1. 启动 Vault 服务，存储加密的数据库密码等。

1. 使用 spring-cloud-starter-vault-config 依赖：

<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-vault-config</artifactId>
</dependency>

配置连接 Vault：

spring:
  cloud:
    vault:
      uri: https://vault.example.com
      token: s.1234567890abcdef
      kv:
        enabled: true
        backend: secret
        profile-separator: '/'

在 Vault 中存储：

Path: secret/myapp
Data:
  db-password: "encrypted-or-plain"

在代码中使用：

@Value("${db-password}")
private String dbPassword;

四、使用环境变量（简单有效）

最简单的方式是完全不在配置文件中写密码，而是通过环境变量注入。

示例：

# application.yml
spring:
  datasource:
    password: ${DB_PASSWORD:defaultpass}  # 从环境变量读取

启动时设置：

export DB_PASSWORD=mypassword123
java -jar myapp.jar

或在 Docker 中：

ENV DB_PASSWORD=mypassword123

或 Kubernetes：

env:
  - name: DB_PASSWORD
    valueFrom:
      secretKeyRef:
        name: db-secret
        key: password

推荐：环境变量 + Secret 管理（如 K8s Secrets） 是生产环境的最佳实践之一。

五、自定义加解密组件（高级）

可以实现自己的 PropertySource 或使用 EnvironmentPostProcessor 在 Spring 启动早期解密配置。

示例：

public class DecryptPropertySource extends EnumerablePropertySource<String> {
    // 自定义解密逻辑
    @Override
    public Object getProperty(String name) {
        String value = source.getProperty(name);
        if (value != null && value.startsWith("ENC(")) {
            return decrypt(value.substring(4, value.length() - 1));
        }
        return value;
    }
}

然后通过 spring.factories 注册：

org.springframework.boot.env.EnvironmentPostProcessor=com.example.DecryptEnvironmentPostProcessor

六、最佳实践总结

推荐策略：

• 开发环境：使用 Jasypt 或明文（仅限本地）。
• 测试/预发环境：使用环境变量或配置中心。
• 生产环境：
• 优先使用 K8s Secrets + 环境变量
• 或 Vault / ACMS + KMS
• 避免将主密钥（master password）硬编码在代码或配置中。

七、注意

• 主密钥安全：无论使用哪种方案，主密钥（Master Key）必须安全存储，推荐使用环境变量或云厂商的密钥管理服务。
• 不要提交密钥到 Git：.gitignore 排除包含密钥的文件。
• 定期轮换密钥：尤其是数据库密码、API Key。
• 日志脱敏：确保日志中不会打印解密后的敏感信息。