Druid连接池实现自定义数据库密码加解密功能详解

在企业级应用开发中，数据库密码的明文存储是一个显著的安全隐患。Druid作为阿里巴巴开源的高性能数据库连接池组件，提供了灵活的密码加密与解密功能，允许开发者通过自定义逻辑实现数据库密码的加密存储与动态解密。本文将详细介绍如何基于Druid连接池实现自定义的数据库密码加解密功能，并结合Spring Boot框架进行集成，帮助开发者提升系统的安全性。

一、背景与需求

1. 问题场景

在传统Spring Boot项目中，数据库密码通常以明文形式存储在application.yml或application.properties配置文件中。这种做法存在以下风险：

配置文件泄露：若配置文件被恶意获取，攻击者可直接读取数据库密码。
权限滥用：开发人员或运维人员在调试时可能误操作敏感信息。
合规性要求：部分行业标准（如GDPR）要求敏感数据必须加密存储。

2. Druid的解决方案

Druid通过以下机制支持密码加密：

内置加密工具：提供ConfigTools工具类，支持使用AES算法加密密码。
自定义回调逻辑：允许开发者通过继承DruidPasswordCallback或自定义DruidDataSource实现密码解密逻辑。
Spring Boot集成：通过配置DruidDataSource的passwordCallback属性或自定义初始化器，实现密码的动态解密。

二、实现步骤

1. 生成加密密码

Druid提供了命令行工具ConfigTools，用于生成加密后的密码和密钥。

步骤

准备Druid JAR包：确保本地已下载Druid的JAR文件（如druid-1.2.18.jar）。

执行加密命令：

java -cp druid-1.2.18.jar com.alibaba.druid.filter.config.ConfigTools your_password

执行后，输出包含加密后的密码、公钥（publicKey）和私钥（privateKey）。

Encrypted Password: e9b7f4a5c0d6df71aefbacd7bb6434ea
Public Key: MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAIcJxWEMHcqBNY7FKX7RufzMNhll8NRG9GAdP6/QbQQQbT0QIgMol0lW57AUK9/Vzhr6VfgdqLQ1h2Zy8YTOXJ8ECAwEAAQ==
Private Key: MIIBVgIBADANBgkqhkiG9w0BAQEFAASCAUAwggFAMB8...

保存密钥与加密密码：
- 将加密后的密码替换到配置文件中的spring.datasource.password字段。
- 将私钥（privateKey）存储在安全的位置（如服务器环境变量或加密配置中心）。

2. 自定义密码解密逻辑

方法一：通过`DruidPasswordCallback`回调类

Druid允许通过实现DruidPasswordCallback接口，在连接初始化时动态解密密码。

代码示例

创建回调类：

package com.example.druid;import com.alibaba.druid.util.DruidPasswordCallback;
import java.util.Properties;public class CustomPasswordCallback extends DruidPasswordCallback {@Overridepublic void setProperties(Properties properties) {super.setProperties(properties);String encryptedPassword = properties.getProperty("password");if (encryptedPassword != null) {// 调用自定义解密方法String decryptedPassword = decrypt(encryptedPassword);setPassword(decryptedPassword.toCharArray());}}private String decrypt(String encryptedPassword) {// 示例：使用AES解密String privateKey = "MIIBVgIBADANBgkqhkiG9w0BAQEFAASC...";return AESUtil.decrypt(encryptedPassword, privateKey);}
}

配置Spring的DruidDataSource：

<bean id="dbPasswordCallback" class="com.example.druid.CustomPasswordCallback" lazy-init="true"/>
<bean id="dataSource" class="com.alibaba.druid.pool.DruidDataSource" init-method="init" destroy-method="close"><property name="url" value="jdbc:mysql://localhost:3306/mydb"/><property name="username" value="root"/><property name="password" value="e9b7f4a5c0d6df71aefbacd7bb6434ea"/> <!-- 加密后的密码 --><property name="driverClassName" value="com.mysql.cj.jdbc.Driver"/><property name="passwordCallback" ref="dbPasswordCallback"/>
</bean>

方法二：继承`DruidDataSource`并重写`setPassword`方法

在Spring Boot项目中，可通过自定义DruidDataSource实现密码解密。

代码示例

自定义数据源类：

package com.example.druid;import com.alibaba.druid.pool.DruidDataSource;
import org.springframework.stereotype.Component;@Component
public class CustomDruidDataSource extends DruidDataSource {@Overridepublic void setPassword(String password) {try {// 使用自定义解密方法String decryptedPassword = AESUtil.decrypt(password, "your-secret-key");super.setPassword(decryptedPassword);} catch (Exception e) {throw new RuntimeException("Password decryption failed", e);}}
}

配置Spring Boot数据源：

spring:datasource:type: com.example.druid.CustomDruidDataSourceurl: jdbc:mysql://localhost:3306/mydbusername: rootpassword: e9b7f4a5c0d6df71aefbacd7bb6434ea  # 加密后的密码

3. 加密算法实现

Druid默认使用AES算法进行加密，开发者可根据需求选择其他算法（如RSA）。

AES加密示例

public class AESUtil {public static String encrypt(String data, String key) throws Exception {Cipher cipher = Cipher.getInstance("AES");SecretKeySpec secretKey = new SecretKeySpec(key.getBytes(), "AES");cipher.init(Cipher.ENCRYPT_MODE, secretKey);return Base64.getEncoder().encodeToString(cipher.doFinal(data.getBytes()));}public static String decrypt(String encryptedData, String key) throws Exception {Cipher cipher = Cipher.getInstance("AES");SecretKeySpec secretKey = new SecretKeySpec(key.getBytes(), "AES");cipher.init(Cipher.DECRYPT_MODE, secretKey);byte[] decryptedBytes = cipher.doFinal(Base64.getDecoder().decode(encryptedData));return new String(decryptedBytes);}
}