在企業(yè)級(jí)開發(fā)中，Spring Boot 項(xiàng)目幾乎離不開各種外部服務(wù)：數(shù)據(jù)庫(kù)、緩存、消息隊(duì)列、支付網(wǎng)關(guān)、OAuth2 認(rèn)證……這些組件的連接憑證和 API Key 通常都被放進(jìn) /etc/app/config/application.yml 或 application.properties 中。

然而，一旦處理不當(dāng)，這些看似普通的配置文件，就可能成為安全體系中的最大破口：代碼被提交到 GitHub/Gitee，或者日志誤打到了集中式系統(tǒng)（如 ELK），都會(huì)讓黑客輕松獲取敏感信息。

本文將結(jié)合常見的開發(fā)場(chǎng)景，逐一分析配置文件安全中的典型誤區(qū)，并給出 Spring Boot3 下更為穩(wěn)妥的加密與防護(hù)實(shí)踐，幫助開發(fā)者構(gòu)建真正安全的配置管理體系。

誤區(qū)一：把密碼明文寫在配置文件里

常見寫法：

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/demo
    username: root
    password: root123456

在本地調(diào)試時(shí)這樣或許沒(méi)問(wèn)題，但如果代碼上傳到遠(yuǎn)程倉(cāng)庫(kù)，或在云服務(wù)器上部署，這些憑證將毫無(wú)遮攔地暴露。

正確做法：環(huán)境變量注入

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/demo
    username: ${DB_USERNAME}
    password: ${DB_PASSWORD}

部署時(shí)配置環(huán)境變量：

export DB_USERNAME=root
export DB_PASSWORD=xxxxxx

或者使用 Profiles 區(qū)分環(huán)境：

• /etc/app/config/application-dev.yml（開發(fā)）
• /etc/app/config/application-prod.yml（生產(chǎn)）

這樣可以在不同環(huán)境獨(dú)立管理敏感信息。

誤區(qū)二：依賴 .gitignore 忽略敏感配置

一些團(tuán)隊(duì)把配置文件加到 .gitignore：

application.yml

他們以為這樣就萬(wàn)事大吉，但只要有人手滑手動(dòng)提交，敏感數(shù)據(jù)依然可能被上傳。更麻煩的是，不同環(huán)境需要不同配置，容易出現(xiàn)“錯(cuò)環(huán)境”的情況。

正確做法：

• Git 倉(cāng)庫(kù)中只保留通用配置（端口、日志級(jí)別等）。
• 敏感信息全部外部化，交給環(huán)境變量或配置中心管理（如 Nacos、Apollo、Spring Cloud Config）。
• 生產(chǎn)環(huán)境中，推薦配合配置中心的加密存儲(chǔ)能力。

誤區(qū)三：用 Base64 假裝加密

錯(cuò)誤示例：

spring:
  datasource:
    password: YWRtaW4xMjM=

這種寫法只是一種編碼，而非真正的加密，任何人都能輕松解碼。

正確做法：使用真正的加密工具。 例如 Jasypt：

encrypt.sh input=123456 password=secretkey

得到密文后存放：

spring:
  datasource:
    password: ENC(xxxxxxxx)

運(yùn)行時(shí)，由 Jasypt 自動(dòng)解密。 更高級(jí)的方式是用 非對(duì)稱加密 或配合配置中心的內(nèi)置加密功能。

誤區(qū)四：把密鑰和密文放一起

錯(cuò)誤示例：

jasypt:
  encryptor:
    password: secretkey


spring:
  datasource:
    password: ENC(abcdefg)

看似加密，其實(shí)毫無(wú)意義。拿到文件的人同時(shí)拿到了密鑰和密文，自然可以解密。

正確做法：

• 絕不把加密密鑰寫進(jìn)倉(cāng)庫(kù)。
• 通過(guò)環(huán)境變量傳入：

java -Djasypt.encryptor.password=secretkey -jar app.jar

• 或者放進(jìn)云服務(wù)提供的 KMS（Key Management Service），如 AWS KMS、阿里云 KMS、Vault。

誤區(qū)五：只關(guān)注數(shù)據(jù)庫(kù)密碼

很多開發(fā)者只對(duì)數(shù)據(jù)庫(kù)連接加密，卻忽視了其他敏感字段：

• 第三方支付 API Key
• Redis / RabbitMQ / Elasticsearch 密碼
• JWT secret
• OAuth2 Client clientSecret

正確做法：

• 統(tǒng)一收集所有敏感信息，納入同一加密與管理體系。
• JWT/OAuth2 相關(guān)的憑證必須設(shè)置過(guò)期時(shí)間，并且支持快速替換。
• 第三方平臺(tái)的 Key，務(wù)必放入配置中心或環(huán)境變量，不要硬編碼到 /src/main/java/com/icoderoad/ 的業(yè)務(wù)邏輯中。

 誤區(qū)六：在日志中打印敏感信息

錯(cuò)誤示例：

log.info("Database password: {}", dataSource.getPassword());

日志往往會(huì)被集中采集，敏感信息就此泄露。

正確做法：

• 絕不打印明文密碼/Token。
• 必須調(diào)試時(shí)，可以做脫敏處理：

log.info("Database password: {}***{}", 
         password.substring(0, 2), 
         password.substring(password.length() - 2));

 誤區(qū)七：沒(méi)有密鑰輪換與過(guò)期機(jī)制

有些團(tuán)隊(duì)一旦配置好憑證，幾年都不改，這會(huì)大大增加風(fēng)險(xiǎn)。

 正確做法：

• 定期更換數(shù)據(jù)庫(kù)密碼、API Key 等。
• 在配置中心統(tǒng)一管理密鑰輪換。
• 對(duì) JWT、OAuth2 Token 設(shè)置過(guò)期時(shí)間。
• 建立應(yīng)急機(jī)制：一旦泄露，能立刻切換。

實(shí)戰(zhàn)示例：結(jié)合 Jasypt 在 Spring Boot3 中安全解密

在 com.icoderoad.security.config 包下新增一個(gè)配置類：

package com.icoderoad.security.config;


import org.jasypt.encryption.StringEncryptor;
import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;


@Configuration
public class JasyptConfig {


    /**
     * 定義 Jasypt 加密器
     * 加密算法可選 PBEWithMD5AndDES、PBEWithHMACSHA512AndAES_256 等
     */
    @Bean(name = "jasyptStringEncryptor")
    public StringEncryptor stringEncryptor() {
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        // 從環(huán)境變量中讀取加密密鑰，避免寫死在配置文件
        String password = System.getenv("JASYPT_ENCRYPTOR_PASSWORD");
        encryptor.setPassword(password);
        encryptor.setAlgorithm("PBEWithMD5AndDES");
        return encryptor;
    }
}

在配置文件中使用加密后的密文：

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/demo
    username: root
    password: ENC(1a2b3c4d5e6f)

運(yùn)行時(shí)，只需通過(guò)環(huán)境變量傳入 Jasypt 密鑰：

export JASYPT_ENCRYPTOR_PASSWORD=secretkey
java -jar app.jar

這樣，Spring Boot 會(huì)自動(dòng)識(shí)別 ENC(...) 的密文并解密，無(wú)需手動(dòng)處理。

結(jié)論

配置文件安全，不只是“寫不寫明文密碼”這么簡(jiǎn)單，而是一整套系統(tǒng)工程。 本文梳理了七大常見誤區(qū)：

• 明文存儲(chǔ)
• 過(guò)度依賴 .gitignore
• Base64 偽加密
• 密鑰與密文放一起
• 只保護(hù)數(shù)據(jù)庫(kù)，忽略其他敏感信息
• 日志泄露
• 缺乏輪換機(jī)制

對(duì)應(yīng)的正確實(shí)踐包括：

• 使用環(huán)境變量、配置中心來(lái)管理敏感信息
• 借助 Jasypt、Vault、KMS 等工具進(jìn)行真正加密
• 永不打印明文，必要時(shí)脫敏
• 建立定期輪換與應(yīng)急替換機(jī)制
• 在 com.icoderoad.security.config 中配置統(tǒng)一的 Jasypt 加密解密工具

在 Spring Boot3 的生產(chǎn)實(shí)踐中，配置文件的安全管理與代碼質(zhì)量同等重要。忽視它，就等于給黑客留了一扇隨時(shí)可入的后門。 真正做到“密鑰可控、憑證可管、日志可審”，才能讓你的應(yīng)用在安全性上立于不敗之地。