我们在SpringBoot项目当中，会把数据库的用户名密码等配置直接放在yaml或者properties文件中，这样维护数据库的密码等敏感信息显然是有一定风险的，如果相关的配置文件被有心之人拿到，必然会给项目造成一定的安全风险；所以为了避免明文密码被直接看到，我们有必要给这些敏感信息做一层加密处理，也就是说，我们的配置文件中配置的都是加密后的密码，在真正需要获取密码的时候再解密出来，这样的话就能很大程度上降低密码被泄漏的风险；

我们来看一下这个配置：

我们上述的配置spring.datasource.password对应的值为123456，这么敏感的信息直接放在配置文件中很不合适，我们要做的就是对应的值改成一个加密的密文，如下：

这样的话，即使该配置文件被有心之人拿去，也不知道真正的数据库密码是啥，也就无法构成对项目的侵害风险；

我们为了实现这个功能，需要了解Spring的相关扩展点以及对应的数据加解密知识，我们先来看看我们应该通过Spring的哪个扩展点进行切入；

我们想要拦截配置数据的话，可以通过实现自定义的BeanFactoryPostProcessor来处理：

基本原理解析如下：

通过上述一系列的操作，我们就可以在PropertySource取值的时候做一些自定义的操作了，比如针对密文密码进行解密；

剩下的另一个问题就是加解密的问题，密码学里面有对称加密和非对称加密，这两种加密方式的区别就是对称加密的加密解密都需要同一个密钥，而非对称加密加密的时候需要公钥，解密的时候需要私钥；

了解了对称加密与非对称加密的区别，如果我们使用的是对称加密，那么一定要避免密文和密钥放在同一个地方；非对称加密一定要避免密文和私钥放在同一个地方；

接下来我们要介绍一款专门针对这个需求的jar工具，它就是jasypt，我们可以去maven仓库找到相关的包：

它的实现原理其实就是我们上面所讲述的，通过自定义BeanFactoryPostProcessor对ConfigurableEnvironment中的PropertySource实例进行拦截包装，在包装类的实现上做一层解密操作，这样就实现了对密文密码的解密；

导入上述依赖后，该工具就已经自动生效了，我们就可以修改对应的配置了，首先我们先针对该工具做一些配置：

在上述配置中，jasypt.encryptor.password是一定要配置的，这就是加解密的密钥，默认的加密算法是PBEWITHHMACSHA512ANDAES_256；另外jasypt.encryptor.property.prefix和jasypt.encryptor.property.suffix分别是密文前缀和密文后缀，是用来标注需要解密的密文的，如果不配置，默认的密文前缀是ENC(，密文后缀是)；默认情况下，我们的密文如下所示：

还有一个需要注意的点就是jasypt.encryptor.password不能与密文放在一起，我们可以在项目当中通过系统属性、命令行参数或环境变量传递；

如果jasypt提供的加解密方式不能满足咱们的项目需求，我们还可以自己实现加解密：

注意我们的BeanName，默认情况下一定要设置成jasyptStringEncryptor，否则不会生效，如果想要改变这个BeanName，也可以通过修改这个配置参数来自定义StringEncryptor实例所对应的BeanName：

生成密文的这个操作还是要自个儿通过调用StringEncryptor实例来加密生成，可以参考以下代码：

毕竟需要加密的操作只需要在项目生命周期中执行一次，所以我们只需要简单地写一个工具类调用一下即可；