跳到主要內容

Jasypt With Hibernate

Problem

使用這個API的目的主要是為了無痛去加解密資料庫的某個欄位,且它支援Hibernate、Spring的整合方式。但最後發現,要無痛是很困難的,除非只是很單純的加密像密碼的東西。

How to?

安裝Java Cryptography Extension (JCE)

如果出現Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy File錯誤訊息,請自行到Oracle官網下載JCE包(JCE for Java8),並安裝到%JAVA_HOME%/jre/lib/security中。如果有問題,可以設定JAVA_HOME環境變數再試試看。 (JCE包內容有US_export_policy.jar與local_policy.jar)

Setup Hibernate & Spring

我的Ivy.xml相依於此兩個libraries:

<dependency org="org.jasypt" name="jasypt" rev="1.9.2"/>
<dependency org="org.jasypt" name="jasypt-hibernate4" rev="1.9.2"/>

最簡單的方式

只要在hbm檔內,將你要加密的欄位設定一下就搞定了。

Hibernate設定:

<hibernate-mapping>
    <typedef name="encryptedString" class="org.jasypt.hibernate4.type.EncryptedStringType">
      <param name="algorithm">PBEWithMD5AndTripleDES</param>
      <param name="password">jasypt</param>
      <param name="keyObtentionIterations">1000</param>
    </typedef>
    <class name="org.tonylin.fun.tonyaccounts" table="tony_accounts">
        <!-- Other items -->
        <property name="password" type="encryptedString">
            <column name="PASSWORD" not-null="true" />
        </property>
    </class>
</hibernate-mapping>

支援的algorithm可以參考此連結

使用自己的Encryptor

Hibernate設定:

<hibernate-mapping> 
    <typedef name="encryptedString" class="org.jasypt.hibernate4.type.EncryptedStringType">
      <param name="encryptorRegisteredName">tonyEncryptor</param>
    </typedef> 
    <class name="org.tonylin.fun.tonyaccounts" table="tony_accounts">
        <!-- Other items -->
        <property name="password" type="encryptedString">
            <column name="PASSWORD" not-null="true" />
        </property>
    </class>
</hibernate-mapping>

Spring設定:

  <bean id="strongEncryptor"
    class="org.jasypt.encryption.pbe.StandardPBEStringEncryptor">
    <property name="algorithm">
        <value>PBEWithMD5AndTripleDES</value>
    </property>
    <property name="password">
        <value>jasypt</value>
    </property>
    <property name="keyObtentionIterations">
        <value>1000</value>
    </property>
  </bean>
 
  <bean id="hibernateStringEncryptor"
    class="org.jasypt.hibernate4.encryptor.HibernatePBEStringEncryptor">
    <property name="registeredName">
        <value>tonyEncryptor</value>
    </property>
    <property name="encryptor">
        <ref bean="strongEncryptor" />
    </property>
  </bean>

PowerMock

如果有使用PowerMock做測試,記得ignore掉這幾個項目。

@PowerMockIgnore({
	"javax.crypto.*",
	"javax.security.*"
	})

Known Issue

目前已知使用Hibernate設定criteria搜尋,又或者是HQL搭配NameParam的方式,都會經過Encryptor。但有以下問題:

  1. 密文不固定: 使用Jasypt所提供的Password Base相關的加密方式,所產生的密文每次都會不同。如果加密的欄位是要搜尋的對象,變成必須自行處理,也可能因此產生效能問題。如果自行寫Encryptor去產生一樣的密文,就會比較不安全。該怎麼決擇就由你自行決定了。
  2. 無法模糊比對: 難以使用模糊比對去找加密過後的欄位。因為片段加密後,不一定是密文中的片段。
  3. 加密型態非預期: 舉例來說,物件類別為long,而DB為big int。而Jasypt提供的類別為EncryptedLongAsStringType,會將內容轉為string。我的測試是MySQL正常,但Postgres會有無法insert的問題;而Jasypt文件就有提到,Long對應的SQL type為VARCHAR, CLOB, TEXT。因此如果要支援,非常可能要自己做Encryptor。

Reference

標籤:

留言

張貼留言

這個網誌中的熱門文章

解決RobotFramework從3.1.2升級到3.2.2之後,Choose File突然會整個Hand住的問題

考慮到自動測試環境的維護,我們很久以前就使用java去執行robot framework。前陣子開始處理從3.1.2升級到3.2.2的事情,主要先把明確的runtime語法錯誤與deprecate item處理好,這部分內容可以參考: link 。 直到最近才發現,透過SeleniumLibrary執行Choose File去上傳檔案的動作,會導致測試案例timeout。本篇文章主要分享心路歷程與解決方法,我也送了一條issue給robot framework: link 。 我的環境如下: RobotFramework: 3.2.2 Selenium: 3.141.0 SeleniumLibrary: 3.3.1 Remote Selenium Version: selenium-server-standalone-3.141.59 首先並非所有Choose File的動作都會hang住,有些測試案例是可以執行的,但是上傳一個作業系統ISO檔案一定會發生問題。後來我透過wireshark去比對新舊版本的上傳動作,因為我使用 Remote Selenium ,所以Selenium會先把檔案透過REST API發送到Remote Selenium Server上。從下圖我們可以發現,在3.2.2的最後一個TCP封包,比3.1.2大概少了500個bytes。 於是就開始了我trace code之路。包含SeleniumLibrary產生要送給Remote Selenium Server的request內容,還有HTTP Content-Length的計算,我都確認過沒有問題。 最後發現問題是出在socket API的使用上,就是下圖的這支code: 最後發現可能因為開始使用nio的方式送資料,但沒處理到尚未送完的資料內容,而導致發生問題。加一個loop去做計算就可以解決了。 最後我有把解法提供給robot framework官方,在他們出新的版本之前,我是將改完的_socket.py放在我們自己的Lib底下,好讓我們測試可以正常進行。(shutil.py應該也是為了解某個bug而產生的樣子..)
張貼留言
閱讀完整內容

第一次寫MIB就上手

SNMP(Simple Network Management Protocol)是用來管理網路設備的一種Protocol,我對它的認識也是從工作接觸開始。雖說是管理網路設備,但是主機、電源供應器、RAID等也都可以透過它來做管理。如果你做了一個應用程式,當然所有的操作也都可以透過SNMP來完成,不過可能會很痛苦。前陣子遇到一個學弟,它告訴我說:「我可能不會想寫程式。」為什麼? 因為這是他痛苦的根源。 在這篇文章中,不是要告訴你SNMP是什麼,會看這篇文章的大哥們,應該已經對SNMP有些認識了。 是的!主題是MIB(Management information base)! 對於一個3th-party的SNMP oid,有MIB可以幫助你去了解它所提供的資訊是什麼,且可以對它做什麼操作。最近我運氣很好剛好做到關於修改MIB的工作,也讓我順便了解一下它的語法,接下來我要交給大家MIB的基礎認識。 smidump 我並非使用什麼高強的Editor去編寫MIB,我僅透過Nodepad++編輯和smidump編譯而已。smidump是Kay教我使用的一個將MIB module轉成樹狀結構或oid列表的工具,唯一的缺點是不會告訴你哪一行打錯。當然有錢直接買編輯樹狀結構的工具就可以不需要了解語法了! 安裝 在Ubuntu上可先輸入smidump確認是否安裝,如果沒安裝可透過apt-get install libsmi2ldbl安裝。(CentOS可以透過yum install libsmi) root@tonylin:~/multi-boot-server# smidump The program 'smidump' is currently not installed. You can install it by typing: apt-get install libsmi2ldbl 使用 透過下面兩行指令,就可以將mib file產生出對應的tree與oid列表的檔案。也可以透過這個結果確認MIB是不是你想要的。 smidump -f tree example1.mib > xtree.txt smidump -f identifiers example1.mib > xiden.txt 如果有參考其它檔案要加上p的參數: smidum...
張貼留言
閱讀完整內容

Windows DLL - 32-bit dll with 64-bit driver

前言 在64-bit作業系統上所使用的驅動程式,一定是64-bit,然而應用程式卻可能是32或64-bit。當32-bit應用程式傳值給驅動程式時是有可能會發生溢位的。主要原因是32與64-bit指標所佔用記憶體長度的不同。接下來我將透過Reference 1中的程式PhyMem,來告訴大家問題在哪與如何修改。(最後改完的程式碼恕我不提供) PhyMem介紹 這是一個中國人寫的程式。作用與WinIO相同,可以存取windows的io port與physical memory。這個程式包含pmdll、driver與test三個專案,分別產生dll、sys與exe。作者僅提供32-bit的版本,但只要修改編譯設定就可以讓它產生出64-bit的artifact。但如同我前言所說,如果你是32-bit的dll要存取64的sys該怎麼辦? 可以規定User在64-bit的OS用64-bit的應用程式就好了阿! 但是將一個32-bit應用程式改為64-bit的有這麼簡單嗎? 除此之外,中間傳遞的資料型態也會影響到正常功能。 設定driver專案 我開發環境是VC2008與DDK6000,下載Reference1的專案是無法直接編譯的,可以參考我的設定去修改編譯、連結參數。輸出檔可以看個人需求,根據32或64命名,或者是用同一個檔案名稱。 32-bit C/C++ > 一般 > 其它Include目錄($(DDKROOT)為設定於環境變數的DDK安裝目錄): $(DDKROOT)\inc\ddk";"$(DDKROOT)\inc\api";"$(DDKROOT)\inc\crt";"$(DDKROOT)\inc\crt\gl";"$(DDKROOT)\inc\crt\sys" 連結器 > 一般 > 其它程式庫目錄: $(DDKROOT)\lib\wnet\i386。 連結器 > 資訊清單檔: 將產生資訊清單與UAC選擇否,因為這不適用於driver。 連結器 > 進階 > 隨機化的基底位置: 選擇預設。 64-bit Reference1僅提供32-bit設定。64-bit可在建置>組態管理員中,新增x64平台,而設定檔可從win32複製過來修...
張貼留言
閱讀完整內容