在 Spring Boot 应用开发中，我们常常将数据库密码、API 密钥等敏感信息存储在配置文件中，方便应用读取和使用。然而，将这些敏感信息以明文形式直接写在配置文件中，会带来极大的安全风险。本文将为你详细介绍如何在 Spring Boot 项目中保护好配置文件中的敏感信息。

为什么要保护敏感信息？
想象一下，如果你的配置文件被意外泄露，攻击者就能轻易获取数据库密码、API 密钥等敏感信息，进而窃取用户数据、篡改应用数据，甚至导致整个系统瘫痪。因此，保护敏感信息是保障应用安全的重中之重。以下是保护Spring Boot配置文件中敏感信息的几种策略。

一.使用环境变量
步骤一：配置引用
在配置文件中使用${}引用环境变量：

spring:
  datasource:
    url: ${DB_URL}
    username: ${DB_USERNAME}
    password: ${DB_PASSWORD}

步骤二：设置环境变量

Linux/macOS：
export DB_URL=jdbc:mysql://localhost:3306/dbname
export DB_USERNAME=user
export DB_PASSWORD=password

Windows：
set DB_URL=jdbc:mysql://localhost:3306/dbname
set DB_USERNAME=user
set DB_PASSWORD=password

二.使用 Jasypt 加密
步骤一：引入依赖

<dependency>
  <groupId>com.github.ulisesbocchio</groupId>
  <artifactId>jasypt-spring-boot-starter</artifactId>
  <version>3.0.4</version>
</dependency>

步骤二：配置Jasypt

jasypt.encryptor.password=mysecretkey

步骤三：加密和解密
使用CLI工具加密：

jasypt encrypt --password=mysecretkey --algorithm=PBEWithMD5AndTripleDES input="mysecretpassword"

在配置文件中使用：

spring:
  datasource:
    password: ENC(encryptedpassword)

步骤四：管理密钥

使用环境变量或密钥管理系统存储加密密钥

三.使用 Spring Cloud Config

步骤一：引入依赖

<dependency>
  <groupId>org.springframework.cloud</groupId>
  <artifactId>spring-cloud-starter-config</artifactId>
  <version>3.1.3</version>
</dependency>

步骤二：配置 Config Server

spring:
  cloud:
    config:
      server:
        git:
          uri: https://github.com/your-repo/config-repo
          search-paths: config

步骤三：安全存储配置
在配置库中存储敏感信息，并实施严格的访问控制。

步骤四：配置 Config Client

spring:
  cloud:
    config:
      uri: http://localhost:8888

实践指南
环境变量：适用于简单的本地开发或小型项目。
Jasypt加密：适合需要加密敏感信息的项目，但要注意密钥管理。
Spring Cloud Config：适合大型分布式系统，能够实现配置的集中管理和版本控制。