若依（RuoYi）框架中JWT硬编码密钥的安全风险与深度优化策略

1. 问题背景：从硬编码到安全漏洞的演进路径

在早期版本的若依（RuoYi）框架中，JWT 的密钥采用如下方式定义：

private static final String SECRET = "ruoyi-secret";

该密钥被直接嵌入源码，并参与 JWT token 的签名生成。由于 Java 字节码易于反编译，任何获得部署包（JAR/WAR）的攻击者均可通过工具如 JD-GUI、CFR 或 FernFlower 提取该字符串。

一旦密钥泄露，攻击者即可使用 jwt.io 或自定义脚本伪造任意用户身份的 token，包括赋予 roles: admin 权限字段，绕过 RBAC 权限控制体系。

2. 攻击链分析：从信息泄露到权限越权

1. 获取应用部署包（通过未授权下载、Git 泄露、备份文件暴露等）
2. 反编译后搜索关键词 “SECRET”、“jwt”、“signingKey”
3. 定位到硬编码密钥值
4. 使用在线 JWT 工具或 Python 脚本重新签发 token
5. 构造包含管理员角色的 payload
6. 将伪造 token 插入请求头 Authorization: Bearer <token>
7. 访问 /admin/user/delete 等敏感接口实现未授权操作
8. 进一步横向渗透其他服务模块

3. 安全加固方案对比表

4. 实践案例：基于 Spring Boot 的动态密钥加载实现

以下为改进后的配置类示例，支持从环境变量读取密钥：

@Configuration
public class JwtConfig {
    
    @Value("${jwt.secret:default-secret-key-that-should-be-changed}")
    private String secret;

    @Bean
    public String jwtSecret() {
        if ("default-secret-key-that-should-be-changed".equals(secret)) {
            throw new IllegalStateException("JWT Secret 未配置，请通过环境变量设置 jwt.secret");
        }
        return Base64.getEncoder().encodeToString(secret.getBytes());
    }
}

启动时可通过命令行指定：

java -jar ruoyi-system.jar --jwt.secret=$(openssl rand -base64 32)

5. 架构级防护：结合配置中心与密钥管理服务

在微服务架构下，建议集成 Nacos 或 Apollo 配置中心，并结合 Hashicorp Vault 实现密钥托管。流程图如下：

graph TD
    A[应用启动] --> B{是否启用远程密钥}
    B -- 是 --> C[调用 Vault API 获取加密密钥]
    C --> D[Vault 返回 AES 加密后的 JWT 密钥]
    D --> E[本地解密并注入 Spring Context]
    B -- 否 --> F[从环境变量加载]
    F --> G[初始化 JwtUtil 工具类]
    E --> G
    G --> H[提供 JWT 签发/验证服务]
    

6. 检测与响应机制：构建主动防御体系

• 静态代码扫描：通过 SonarQube 规则检测硬编码密钥模式（正则表达式匹配 secret\s*=\s*".+"）
• CI/CD 流水线拦截：禁止包含默认密钥的构建包发布至生产环境
• 运行时监控：记录异常 token 验签失败日志，识别暴力伪造尝试
• 密钥轮换策略：每90天自动更新一次密钥，并同步刷新所有活跃 session
• 审计追踪：对高危接口调用记录完整 token 解析结果，便于事后溯源

7. 行业最佳实践参考

根据 OWASP Top 10 2023 中 A07:2021 – Identification and Authentication Failures，硬编码凭证属于关键缺陷。NIST SP 800-57 也明确指出，加密密钥应与代码分离存储。

现代 DevSecOps 实践中，推荐采用“密钥即服务”（KMS）模型，例如：

• AWS KMS + Parameter Store
• Azure Key Vault
• 阿里云 KMS

这些平台支持细粒度访问控制、审计日志和自动轮转功能，显著提升密钥生命周期管理能力。