BeX5数据源使用密文配置的办法

stevenwl

近期网络安全需求中提到，系统的配置文件不允许明文配置。BeX5采用Tomcat作为容器，数据源配置及管理均托管于Tomcat。论坛上逛了一圈，没找到想要的方案，估计justep并未做额外的封装处理。因此本帖实质上是对Tomcat数据源加密配置的分享，度娘上零零散散有一些资料，总结如下，供需要的朋友参考。
目标：apache-tomcat/conf/context.xml中resource数据源的password做密文配置，且系统能正常运行。
  <Resource name="erp" auth="Container" type="javax.sql.DataSource" driverClassName="oracle.jdbc.driver.OracleDriver" url="jdbc:oracle:thin:@xx.xx.xx.xx:ORCL" username="erp" password="密文" maxActive="10" maxIdle="5"/>

分析：tomcat数据源管理默认采用lib/tomcat-dbcp.jar中的BasicDataSourceFactory作为工厂，该工厂直接获取context.xml中的数据，并封装成数据源。因此想要植入"密文还原"的逻辑，就要从工厂处下手。

方案一：
直接下载tomcat对应版本的源码，找到BasicDataSourceFactory.java并修改如下关键代码：
    value = properties.getProperty("password");
    if (value != null) {
      dataSource.setPassword(value);   --  此处value为密文，则在此对应解密即可  
    }

此法简单粗暴，是度娘上最常见的处理方式。缺点是不易维护，遇到tomcat版本升级，需要重新编译并覆盖，比较繁琐。

方案二：
context.xml的Resource节点支持扩展factory属性，可指定自定义工厂，处理配置信息：
  <Resource name="erp" auth="Container" type="javax.sql.DataSource" driverClassName="oracle.jdbc.driver.OracleDriver" url="jdbc:oracle:thin:@xx.xx.xx.xx:ORCL" username="erp" password="密文" maxActive="10" maxIdle="5"   factory="com.abc.custom.EncryptDataSourceFactory"/>
EncryptDataSourceFactory.java需继承自BasicDataSourceFactory，并覆写getObjectInstance方法，该方法接收整个Resource对象，获取其password属性，解密后，回写入Resource对象中，完成逻辑植入。
此法直观优雅，配置文件一眼可见处理思路。瑕疵是仍需要以独立的jar存放于tomcat/lib中，不利于团队代码管理。

个人更推荐方案二。
以上。

ecoolper

很棒，
还可以试试druid数据库连接池的加密方案

ecoolper

看下这个帖子：
https://my.oschina.net/ecoolper/blog/664047
https://github.com/alibaba/druid ... 7%94%A8ConfigFilter

stevenwl

ecoolper 发表于 2021-7-16 11:40
看下这个帖子：
https://my.oschina.net/ecoolper/blog/664047
https://github.com/alibaba/druid/wiki/%E4 ...

嗯，原理同方案2，高配版。因bex5自己实现的classloader，不知道集成druid这种3rd框架有没有坑。所以自己实现是最简单快捷的。主要加解密的功能并没有多复杂。
谢谢分享

lyc_0809

学习了