使用 Talend Data Integration 加密/加密和解密 .properties 文件中的密码

Question

运行作业的一种建议方法是将上下文参数保存在属性文件中。 喜欢这个：

#
#Wed Dec 16 18:23:03 CET 2015 
MySQL_AdditionalParams=noDatetimeStringSync\=true 
MySQL_Port=3306   
MySQL_Login=root 
MySQL_Password=secret_password_to_cipher 
MySQL_Database=talend MySQL_Server=localhost

这真的很简单也很有用，但这样做的问题是密码是明文保存的。

所以我正在寻找轻松加密的方法。 以下是 Stack Overflow 中已经讨论过的关于密码加密技术的 2 个非常有趣的问题：

• Encrypt passwords in configuration files
• Securing passwords in properties file

但它们是 Java 原生的，我正在寻找更好的 Talend 集成。我已经在我的 Talend 工作中尝试了不同的方法：

• 使用base64 密码编码的简单混淆
• 使用来自 forge 的 tEncrypt 和 tDecrypt 组件
• 使用 Jasypt 或 JavaXCrypto 库
• 使用来自 Forge 的 pwdstore 例程

所有这些技术都在一个教程（法语，抱歉）中描述，解释如何crypt passwords in Talend

但是遇到了另一个问题：用于加密/解密的密钥始终是明确的，所以如果你知道解决这一点的好方法我很乐意尝试一下强>.

Answer 1

从根本上说，只要有人闯入系统/接管了应用程序的控制权，就可以访问应用程序可以访问的任何内容。 即使您使用混淆（例如 base64 或更高级）或密钥可用的真正加密（即使它们也可能被混淆）。

所以基本上没有足够好的方法来做你想做的事情，更糟糕的是：它根本不存在。

那你会怎么做呢？

1.限制权利

MySQL_Login=root 是个大问题......应用程序的破坏将导致数据库（及其数据）立即受到破坏。

因此，将权限限制为应用程序绝对需要的内容。

这确实应该做到，而且很容易实现。

2。单独的用户和管理员级别的访问权限

如果某些事情只在用户交互后才需要，您可以使用用户提供的秘密（例如，用户的密码可以给出一个哈希值，并且可以进行异或运算并为您获取一个并不总是存在的密钥应用程序或配置文件）。

您可以使用它，例如将权限分为两个级别：普通用户级别，只有最低限度的权限才能使应用程序为普通用户工作，（但例如不是允许管理应用程序本身的应用程序管理权限），并使用保留的秘密由用户在没有管理员登录到应用程序的管理部分时将密钥保留在应用程序之外。

说实话，这很难做到，也不是那么容易。

但即使您基本上必须考虑访问例如如果应用程序被破坏，数据库将被破坏。

这也是为什么在没有适当预防措施的情况下不应该（绝不能）将应用程序用户密码等数据存储在数据库中的原因。