“生产环境数据库密码泄露，连夜紧急止损！” 上周刚帮运维同事处理完一起安全事故，起因竟是新人把明文密码写进 application.yml，提交代码时忘关 gitignore。更惊心的是，事后排查发现团队 80% 的老项目都存在类似隐患 —— 要么用 Base64 “自欺欺人”，要么密钥和密文放一起，等于给黑客留了后门。

根据 OWASP 2025 年报告，37% 的企业级应用安全漏洞源于敏感配置泄露，其中 Spring Boot 项目占比高达 62%。如果你还在把数据库密码、API 密钥明文存放，看完这篇实战指南，立刻就能堵住这个致命漏洞。

Jasypt 为何成为首选？

Jasypt（Java Simplified Encryption）是 Spring 生态公认的配置加密工具，能无缝集成 Spring Boot3，支持多种加密算法，还能与 Nacos 等配置中心联动。相比其他方案，它有三个不可替代的优势：

1. 零侵入集成：引入 starter 即可生效，无需修改业务代码
2. 算法可定制：从基础的 PBEWithMD5AndDES 到军工级的 PBEWithHmacSHA512AndAES_256 任选
3. 密钥安全可控：支持环境变量、命令行等多种密钥注入方式，杜绝硬编码

手把手实战：Jasypt 加密全流程（附代码）

3.1 环境准备与依赖配置

首先通过 Spring Initializr 创建项目，勾选 Spring Web、Spring Configuration Processor 依赖。重点在 pom.xml 添加 Jasypt starter，Spring Boot3 务必选 3.0.5 及以上版本，否则会出现自动配置类冲突：

<dependency>
    <groupId>com.github.ulisesbocchio</groupId>
    <artifactId>jasypt-spring-boot-starter</artifactId>
    <version>3.0.5</version> <!-- 3.0.4以下不兼容Spring Boot3 -->
</dependency>

3.2 生成加密密文（3 种方法）

方法 1：命令行工具加密（推荐）

下载 Jasypt 1.9.3 工具包：wget
https://github.com/jasypt/jasypt/archive/refs/tags/1.9.3.zip

解压后执行加密命令（以数据库密码my_db_password为例）：

java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringEncryptionCLI 
input="my_db_password" 
password="your_master_key"  # 主密钥，生产环境需妥善保管
algorithm="PBEWithHmacSHA512AndAES_256"  # 生产级算法

执行后得到类似ENC(+xQrG7eU9z8G3Lw5...)的密文，记住ENC()前缀是解密标识，不可省略。

方法 2：代码生成密文（调试用）

创建工具类快速生成密文，方便开发阶段测试：

import org.jasypt.encryption.StringEncryptor;
import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;
import org.jasypt.encryption.pbe.config.SimpleStringPBEConfig;

public class JasyptUtils {
    public static String encrypt(String content, String key) {
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(key);
        config.setAlgorithm("PBEWithHmacSHA512AndAES_256");
        encryptor.setConfig(config);
        return encryptor.encrypt(content);
    }

    public static void main(String[] args) {
        // 输出加密结果，记得替换为自己的密钥
        System.out.println("加密后：" + encrypt("my_db_password", "your_master_key"));
    }
}

3.3 配置文件编写（YAML 示例）

将加密后的密文写入 application.yml，注意所有敏感字段都要加ENC()标识：

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/demo_db
    username: ENC(8aZ7xQ2...)  # 用户名也建议加密
    password: ENC(+xQrG7e...)
  redis:
    password: ENC(3kP9sR...)  # Redis密码同样需要保护

# Jasypt基础配置（密钥不在此配置！）
jasypt:
  encryptor:
    algorithm: PBEWithHmacSHA512AndAES_256  # 与加密时保持一致
    iv-generator-classname: org.jasypt.iv.RandomIvGenerator  # 增强安全性

3.4 注入解密密钥（生产级方案）

绝对禁止在配置文件写密钥！推荐 3 种生产环境方案：

方案 1：命令行参数注入

启动 jar 包时通过参数传递密钥：

java -Djasypt.encryptor.password=your_master_key -jar demo-app.jar

方案 2：环境变量注入

先设置系统环境变量，再启动应用：

# Linux/MacOS
export JASYPT_ENCRYPTOR_PASSWORD=your_master_key
# Windows
set JASYPT_ENCRYPTOR_PASSWORD=your_master_key

# 启动应用
java -jar demo-app.jar

配置文件中可通过${
JASYPT_ENCRYPTOR_PASSWORD:}自动读取环境变量。

方案 3：密钥管理服务（KMS）

大型项目推荐用阿里云 KMS、HashiCorp Vault 等工具，以阿里云为例：

1. 在 KMS 创建密钥环和主密钥
2. 应用启动时调用 KMS API 获取解密密钥
3. 自定义StringEncryptor注入密钥：

@Configuration
public class JasyptConfig {
    @Bean("jasyptStringEncryptor")
    public StringEncryptor stringEncryptor() {
        // 调用KMS API获取密钥，此处简化为模拟代码
        String masterKey = AliKmsUtils.getSecret("jasypt-master-key");
        
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        SimpleStringPBEConfig config = new SimpleStringPBEConfig();
        config.setPassword(masterKey);
        config.setAlgorithm("PBEWithHmacSHA512AndAES_256");
        encryptor.setConfig(config);
        return encryptor;
    }
}

3.5 验证解密效果

编写测试接口验证配置是否生效：

@RestController
@RequestMapping("/test")
public class ConfigTestController {
    @Value("${spring.datasource.password}")
    private String dbPassword;

    @GetMapping("/db-info")
    public String getDbInfo() {
        // 注意：日志中绝对不能打印明文！
        return "数据库密码长度：" + dbPassword.length(); 
    }
}

启动应用访问/test/db-info，返回密码长度即表示解密成功。

避坑指南：7 个致命错误千万别犯

错误 1：用 Base64 冒充加密

password: YWRtaW4xMjM=这种写法只是编码，随便找个 Base64 解码工具就能还原，等于裸奔。

错误 2：密钥密文放一起

# 绝对禁止！
jasypt:
  encryptor:
    password: your_master_key  # 密钥硬编码
spring:
  datasource:
    password: ENC(xxx)

拿到配置文件就能同时获取密钥和密文，加密毫无意义。

错误 3：忽视非数据库敏感字段

只加密数据库密码，却把 JWT 密钥、支付 API Key 明文存放：

# 危险写法
jwt:
  secret: abcdef123456  # 未加密
pay:
  alipay:
    appKey: 123456789  # 未加密

正确做法是所有敏感字段统一用ENC()加密。

错误 4：日志打印明文

// 致命错误！
log.info("数据库密码：{}", dbPassword);

日志会被 ELK 等系统收集，敏感信息瞬间泄露。必须脱敏：

log.info("数据库密码：{}***{}", 
  dbPassword.substring(0,2), 
  dbPassword.substring(dbPassword.length()-2));

错误 5：算法选得太弱

默认的PBEWithMD5AndDES安全性不足，生产环境必须用
PBEWithHmacSHA512AndAES_256。JDK8 及以下需安装 JCE 无限强度策略文件，JDK9 + 已默认支持。

错误 6：Nacos 配置未加密

用 Nacos 做配置中心时，需在 Nacos 控制台直接存储密文，同时确保应用端 Jasypt 配置与加密时一致：

# Nacos配置示例（直接存密文）
spring:
  datasource:
    password: ENC(+xQrG7e...)

注意：Nacos 动态刷新时可能出现解密失败，需在@RefreshScopeBean 中重新注入配置。

错误 7：没有密钥轮换机制

密钥几年不换，一旦泄露后果严重。建议：

• 每 3 个月轮换一次主密钥
• 数据库密码、API Key 同步更新
• 用配置中心实现密钥快速切换

进阶：多环境加密策略

不同环境用不同密钥，避免 “一把钥匙开所有锁”：

1. 开发环境：用本地环境变量注入密钥
2. 测试环境：用 Jenkins 参数传递密钥
3. 生产环境：用 KMS 管理密钥
4. 配置文件通过 Profiles 区分：

# application-dev.yml（开发环境）
jasypt:
  encryptor:
    algorithm: PBEWithMD5AndDES  # 开发环境简化算法

# application-prod.yml（生产环境）
jasypt:
  encryptor:
    algorithm: PBEWithHmacSHA512AndAES_256

总结

配置加密只是应用安全的第一道防线，真正的安全体系需要：

1. 敏感配置全加密：覆盖数据库、缓存、第三方 API 等所有场景
2. 密钥全生命周期管理：从生成、注入到轮换全程可控
3. 操作全链路审计：记录密钥使用、配置修改等关键操作
4. 应急响应机制：泄露时能 10 分钟内切换密钥

最后留个思考题：如果你的项目用了 Docker 容器化部署，Jasypt 密钥该如何安全注入？欢迎在评论区交流，点赞过千立刻出 Docker+K8s 加密实战篇！