Spring Boot 3.x 整合 Druid 数据库连接池(含密码加密)
1. 为什么需要数据库连接池?
在传统的数据库连接中,每一次与数据库连接都会消耗大量的系统资源和时间。数据库连接池会提前创建一定数量的数据库连接保存在池中,用来复用,避免了重复建立连接和关闭连接的开销
优点:
- **提高性能和效率:**可以复用连接,减少建立连接的开销
- 资源管理:可以限制连接数量,防止数据库连接过大导致资源不足
- 连接复用:数据库连接池可以管理连接的生命周期,确保连接在需要时处于可用状态,并在不再需要时释放资源,从而减少了系统资源的浪费
- 连接池监控:数据库连接池通常提供了监控和管理功能,可以实时监控连接的使用情况、连接的状态和性能指标
2. 什么是 Druid 连接池?
Druid 是阿里巴巴开源的一个高性能的数据库连接池,GitHub 地址:https://github.com/alibaba/druid 。它不仅提供了传统数据库连接池的连接管理功能,还提供了一系列强大的监控和扩展功能。Druid 的优势主要体现在以下几个方面:
- 高性能:Druid 是基于 Java 平台开发的,使用了高效的连接池算法和多线程技术,能够提供高性能的数据库连接管理服务。
- 丰富的监控功能:Druid 提供了丰富的监控功能,包括连接池状态监控、SQL 执行性能监控、SQL 执行分析等,可以实时监控数据库连接的使用情况和性能指标,并生成详细的报表和图表。
- 安全性:Druid 内置了防 SQL 注入功能和黑名单功能,能够有效防止恶意 SQL 注入攻击和非法访问。
- 灵活的配置:Druid 提供了丰富的配置选项,可以灵活地配置连接池的参数和行为,满足不同场景下的需求。
- 可扩展性:Druid 提供了插件机制,支持自定义插件和扩展功能,开发人员可以根据需要自定义监控指标、扩展连接池的功能等。
- 完善的文档和社区支持:Druid 有完善的官方文档和活跃的社区支持,开发人员可以方便地获取帮助和解决问题。
3. 开始整合
3.1 添加依赖
<properties>druid.version>1.2.21</druid.version></properties><dependencyManagement><dependencies><!-- Druid 数据库连接池 --><dependency><groupId>com.alibaba</groupId><artifactId>druid-spring-boot-3-starter</artifactId><version>${druid.version}</version></dependency></dependencies></dependencyManagement>
3.2 连接池配置
spring:datasource:driver-class-name: com.mysql.cj.jdbc.Driver # 指定数据库驱动类# 数据库连接信息url: jdbc:mysql://127.0.0.1:3306/xiaohashu?useUnicode=true&characterEncoding=utf-8&autoReconnect=true&useSSL=false&serverTimezone=Asia/Shanghaiusername: root # 数据库用户名password: 123456 # 数据库密码type: com.alibaba.druid.pool.DruidDataSourcedruid: # Druid 连接池initial-size: 5 # 初始化连接池大小min-idle: 5 # 最小连接池数量max-active: 20 # 最大连接池数量max-wait: 60000 # 连接时最大等待时间(单位:毫秒)test-while-idle: truetime-between-eviction-runs-millis: 60000 # 配置多久进行一次检测,检测需要关闭的连接(单位:毫秒)min-evictable-idle-time-millis: 300000 # 配置一个连接在连接池中最小生存的时间(单位:毫秒)max-evictable-idle-time-millis: 900000 # 配置一个连接在连接池中最大生存的时间(单位:毫秒)validation-query: SELECT 1 FROM DUAL # 配置测试连接是否可用的查询 sqltest-on-borrow: falsetest-on-return: falsepool-prepared-statements: falseweb-stat-filter:enabled: truestat-view-servlet:enabled: trueurl-pattern: /druid/* # 配置监控后台访问路径login-username: admin # 配置监控后台登录的用户名、密码login-password: adminfilter:stat:enabled: truelog-slow-sql: true # 开启慢 sql 记录slow-sql-millis: 2000 # 若执行耗时大于 2s,则视为慢 sqlmerge-sql: truewall: # 防火墙config:multi-statement-allow: true
解释一下上面各项配置,都是干啥的:
type: com.alibaba.druid.pool.DruidDataSource
:指定使用 Druid 连接池。initial-size
:初始化连接池大小,即连接池启动时创建的初始化连接数。min-idle
:最小连接池数量,连接池中保持的最小空闲连接数。max-active
:最大连接池数量,连接池中允许的最大活动连接数。max-wait
:连接时最大等待时间,当连接池中的连接已经用完时,等待从连接池获取连接的最长时间,单位是毫秒。test-while-idle
:连接空闲时是否执行检查。time-between-eviction-runs-millis
:配置多久进行一次检测,检测需要关闭的连接,单位是毫秒。min-evictable-idle-time-millis
:一个连接在连接池中最小生存的时间,单位是毫秒。max-evictable-idle-time-millis
:一个连接在连接池中最大生存的时间,单位是毫秒。validation-query
:测试连接是否可用的查询 SQL。test-on-borrow
:连接从连接池获取时是否测试连接的可用性。test-on-return
:连接返回连接池时是否测试连接的可用性。pool-prepared-statements
:是否缓存 PreparedStatement,默认为 false。web-stat-filter
:用于配置 Druid 的 Web 监控功能。在这里,enabled
表示是否开启 Web 监控功能。如果设置为 true,就可以通过浏览器访问 Druid 的监控页面。- stat-view-servlet:配置 Druid 的监控后台访问路径、登录用户名和密码。
enabled
表示是否开启监控后台功能。url-pattern
指定了监控后台的访问路径,即通过浏览器访问监控页面时的 URL。login-username
和login-password
分别指定了监控后台的登录用户名和密码,用于访问监控后台时的身份验证。
- filter:用于配置 Druid 的过滤器,包括统计过滤器和防火墙过滤器。
stat
:配置 Druid 的统计过滤器。enabled
表示是否开启统计功能,log-slow-sql
表示是否开启慢 SQL 记录,slow-sql-millis
指定了执行时间超过多少毫秒的 SQL 语句会被认为是慢 SQL,merge-sql
表示是否开启 SQL 合并功能。wall
:配置 Druid 的防火墙过滤器。防火墙用于防止 SQL 注入攻击。在这里,config
配置了防火墙的规则,multi-statement-allow
表示是否允许执行多条 SQL 语句。
3.4 监控后台
重启认证服务,访问地址:http://localhost:8080/druid ,即可登录 Druid 监控后台, 如下图所示,用户名和密码填写刚刚 yml
文件中手动配置的:
4. 数据库密码加密
数据库连接密码加密是为了增强系统的安全性。在配置文件中,明文存储数据库连接密码存在以下几个潜在风险:
- 泄露风险: 如果配置文件被不当地公开或者泄露,其中包含的数据库连接密码也会暴露给不可信的第三方,从而造成数据库的安全威胁。
- 权限滥用: 如果系统中的某个用户拥有访问配置文件的权限,那么他就可以直接获取到数据库连接密码。如果这个用户是不可信的,就有可能滥用这个权限,对数据库进行非法操作。
- 审计追踪: 明文存储密码会降低系统的审计追踪能力。一旦出现安全问题,无法准确追踪是谁在何时何地使用了数据库连接密码。
为了避免以上风险,我们可以采取数据库连接密码加密的方式。加密后的密码可以在配置文件中存储,即使被泄露也不会直接暴露真实的密码,增加了攻击者破解密码的难度。
4.2 Druid 内置工具加密密码
接下来,我们将通过 Druid 内置的密码加密工具 ConfigTools
,来对明文密码进行加密处理。新建一个 DruidTests
单元测试
import com.alibaba.druid.filter.config.ConfigTools;
import lombok.SneakyThrows;
import lombok.extern.slf4j.Slf4j;
import org.junit.jupiter.api.Test;
import org.springframework.boot.test.context.SpringBootTest;@SpringBootTest
@Slf4j
class DruidTests {/*** Druid 密码加密*/@Test@SneakyThrowsvoid testEncodePassword() {// 你的密码String password = "123456";String[] arr = ConfigTools.genKeyPair(512);// 私钥log.info("privateKey: {}", arr[0]);// 公钥log.info("publicKey: {}", arr[1]);// 通过私钥加密密码String encodePassword = ConfigTools.encrypt(arr[0], password);log.info("password: {}", encodePassword);}}
解释一下上述代码:
-
String password = "123456";
:定义了要加密的密码。 -
String[] arr = ConfigTools.genKeyPair(512);
:调用ConfigTools
类的genKeyPair
方法生成 RSA 密钥对。RSA 是一种非对称加密算法,512
表示密钥长度为 512 位。 -
log.info("privateKey: {}", arr[0]);
和log.info("publicKey: {}", arr[1]);
:分别打印生成的私钥和公钥。私钥用于加密,公钥用于解密。 -
String encodePassword = ConfigTools.encrypt(arr[0], password);
:调用ConfigTools
类的encrypt
方法,使用生成的私钥对密码进行加密。这里将生成的私钥和密码作为参数传入,返回加密后的密码。 -
log.info("password: {}", encodePassword);
:打印加密后的密码。
4.3 配置加密后的密码
接下来,编辑 applicaiton-dev.yml
文件,配置密码加密相关配置,如下图标注所示:
spring:datasource:// 省略...password: A2qT03X7KlL4v/F2foD6kV/Ch9gpNBWOh1qoCywanjv1AsI7f9x3iAyR9NkUKeV+FMo+halCTzy5Llbk2VOrVQ== # 数据库密码type: com.alibaba.druid.pool.DruidDataSourcedruid: # Druid 连接池// 省略...connectionProperties: config.decrypt=true;config.decrypt.key=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAIaJmhsfN14oM+bghiOfARP6YgIiArekviyAOEa9Dt8spf4W38kSJShGs0NkzT3btqJB0O2o0X/yfVE8kqme1jMCAwEAAQ==// 省略...filter:config:enabled: true// 省略...
解释一下上述配置项:
password: A2qT03X7KlL4v/F2foD6kV/Ch9gpNBWOh1qoCywanjv1AsI7f9x3iAyR9NkUKeV+FMo+halCTzy5Llbk2VOrVQ==
:这里的密码改为加密后的密码。connectionProperties: config.decrypt=true;config.decrypt.key=MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAIaJmhsfN14oM+bghiOfARP6YgIiArekviyAOEa9Dt8spf4W38kSJShGs0NkzT3btqJB0O2o0X/yfVE8kqme1jMCAwEAAQ==
:这里配置了连接属性,其中config.decrypt=true
表示开启密码解密功能,config.decrypt.key
是用于解密的密钥,即上面单元测试生成公钥。在 Druid 连接池中,如果我们的密码已经经过了加密处理,就需要在连接属性中配置解密相关的参数,以便 Druid 能够正确解密密码,然后连接到数据库。filter.config.enabled: true
:这里配置了 Druid 连接池的filter
,其中config
是一个配置项,enabled: true
表示开启该配置项。这个配置项通常用于配置 Druid 连接池的一些额外功能,比如密码解密等。
如果我们的密码已经经过了加密处理,就需要在连接属性中配置解密相关的参数,以便 Druid 能够正确解密密码,然后连接到数据库。
3. filter.config.enabled: true
:这里配置了 Druid 连接池的 filter
,其中 config
是一个配置项,enabled: true
表示开启该配置项。这个配置项通常用于配置 Druid 连接池的一些额外功能,比如密码解密等。