1. 项目概述：为什么我们需要解析DBeaver的密码？

如果你是一个经常使用DBeaver连接各种数据库的开发者或DBA，那么你肯定遇到过这样的场景：项目交接、环境迁移，或者只是想写个小工具自动备份连接配置。这时，你打开DBeaver的连接管理器，看着那一排排保存好的数据库连接，用户名一目了然，但密码却是一串星号。你可能会想，这些密码到底被存在了哪里？它们是以什么形式保存的？有没有办法在不打开DBeaver GUI的情况下，用程序（比如Java）安全地读取出来，用于自动化脚本或配置同步？

这正是我们今天要深入探讨的核心问题。DBeaver作为一款功能强大的开源数据库管理工具，其安全性设计是首要考虑。它绝不会以明文形式将你的数据库密码存放在某个文本文件里，否则就太危险了。相反，它采用了一套基于主密码（Master Password）的加密机制来保护这些敏感信息。简单来说，你连接数据库的密码，会被一个由你设定的主密码加密后，存储在本地的配置文件中。每次DBeaver启动时，会提示你输入主密码来解密这些连接密码，从而建立连接。

那么，从技术实现的角度，这套机制是如何运作的？如果我们想用Java程序读取这些被加密的密码，需要经历哪些步骤，又会遇到哪些“坑”？本文将带你从零开始，彻底解析DBeaver CE（社区版）的本地密码存储机制，并提供一份可直接运行的Java代码示例和详尽的避坑指南。无论你是想学习其加密原理，还是真的有自动化处理连接配置的需求，这篇文章都将为你提供清晰的路径。

2. DBeaver加密机制深度拆解

要理解如何读取，必须先理解DBeaver如何存储。DBeaver的配置核心位于用户家目录下的.dbeaver4或.dbeaver文件夹中（版本不同，文件夹名略有差异）。我们关心的连接信息，主要保存在workspace6/General/.dbeaver/data-sources.json这个文件里。当然，具体路径可能因操作系统和DBeaver版本稍有不同，例如在macOS上可能在~/Library/DBeaverData/workspace6/...。

2.1 核心文件与数据结构

让我们先看看>{ "folders": [], "connections": { "mysql-8-1234567890": { "provider": "mysql", "driver": "mysql8", "name": "本地测试库", "save-password": true, "user": "root", "password": "AAAAAA...非常长的加密字符串...", "configuration": { "host": "localhost", "port": "3306", "database": "test_db" } } } }

关键字段一目了然：provider,driver,user,configuration里的连接信息都是明文的。唯独password字段，是一串看起来像Base64编码的长字符串。这串字符就是被加密后的密码密文。DBeaver默认使用“保存密码”功能时，就会生成这样的密文。

2.2 加密原理与密钥派生

DBeaver社区版使用的是一种对称加密算法。简单来说，就是用一把“钥匙”锁住密码，读取时再用同一把“钥匙”打开。这把“钥匙”的源头，就是用户设置的主密码（Master Password）。

其加密流程可以概括为以下几个步骤：

1. 主密码输入与派生：当你首次设置或输入主密码时，DBeaver并不会直接使用这个密码字符串作为加密密钥，因为用户输入的密码长度和强度不可控。它会使用PBKDF2（Password-Based Key Derivation Function 2）算法，结合一个随机生成的“盐”（Salt），对主密码进行成千上万次的哈希计算，最终派生出一个固定长度、高强度的加密密钥。这个过程极大地增加了暴力破解的难度。
2. 数据加密：派生出的密钥被用来使用AES（高级加密标准）算法，对原始的数据库连接密码进行加密，生成密文。
3. 本地存储：加密后的密文，连同加密时使用的“盐”和算法参数（如迭代次数），一起被编码（通常是Base64）后，存储到><dependency> <groupId>com.fasterxml.jackson.core</groupId> <artifactId>jackson-databind</artifactId> <version>2.15.0</version> <!-- 请使用最新稳定版 --> </dependency>

   如果不用Maven，直接下载Jackson的JAR包并添加到类路径即可。

   3.2 解析配置文件与定位密文

   第一步是读取并解析JSON配置文件。这里的关键是找到正确的文件路径和解析出密文字符串。

   import com.fasterxml.jackson.databind.JsonNode; import com.fasterxml.jackson.databind.ObjectMapper; import java.io.File; import java.nio.file.Paths; public class DBeaverPasswordReader { private static final String DBEAVER_HOME = System.getProperty("user.home") + "/.dbeaver4"; private static final String DATA_SOURCES_PATH = "/workspace6/General/.dbeaver/data-sources.json"; public static String getEncryptedPassword(String connectionName) throws Exception { File configFile = Paths.get(DBEAVER_HOME, DATA_SOURCES_PATH).toFile(); if (!configFile.exists()) { // 尝试其他可能路径，例如 `.dbeaver` 或 macOS 路径 throw new RuntimeException("未找到>import javax.crypto.Cipher; import javax.crypto.SecretKey; import javax.crypto.SecretKeyFactory; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.PBEKeySpec; import javax.crypto.spec.SecretKeySpec; import java.nio.charset.StandardCharsets; import java.util.Base64; public class DBeaverDecryptor { /** * 解密DBeaver保存的密码 * @param encryptedBase64 从data-sources.json中读取的password字段值 * @param masterPassword DBeaver的主密码 * @return 明文的数据库密码 */ public static String decryptPassword(String encryptedBase64, String masterPassword) throws Exception { // 1. Base64解码 byte[] encryptedData = Base64.getDecoder().decode(encryptedBase64); // 2. 解析数据：假设格式为 "Salted__" + 8字节盐 + 密文 final String SALT_PREFIX = "Salted__"; byte[] saltPrefixBytes = SALT_PREFIX.getBytes(StandardCharsets.UTF_8); if (encryptedData.length < saltPrefixBytes.length + 8) { throw new IllegalArgumentException("加密数据格式不正确或已损坏。"); } // 检查前缀 for (int i = 0; i < saltPrefixBytes.length; i++) { if (encryptedData[i] != saltPrefixBytes[i]) { throw new IllegalArgumentException("不支持的加密格式或数据损坏。"); } } // 提取盐（8字节） byte[] salt = new byte[8]; System.arraycopy(encryptedData, saltPrefixBytes.length, salt, 0, 8); // 提取密文（剩余部分） int cipherTextOffset = saltPrefixBytes.length + 8; byte[] cipherText = new byte[encryptedData.length - cipherTextOffset]; System.arraycopy(encryptedData, cipherTextOffset, cipherText, 0, cipherText.length); // 3. 使用PBKDF2生成密钥 // DBeaver CE 默认使用 1000 次迭代，生成 256 位 (32字节) 的密钥 int iterationCount = 1000; int keyLength = 256; PBEKeySpec keySpec = new PBEKeySpec(masterPassword.toCharArray(), salt, iterationCount, keyLength); SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1"); byte[] secretKeyBytes = keyFactory.generateSecret(keySpec).getEncoded(); // 4. AES解密 // DBeaver 使用 CBC 模式，且 IV 似乎与密钥生成方式有关，有时直接使用密钥的前16字节？ // **注意：这是一个关键踩坑点！** 不同版本或配置下，IV的生成方式可能不同。 // 一种常见做法是，使用生成的密钥数据的前16字节作为IV。 byte[] iv = new byte[16]; System.arraycopy(secretKeyBytes, 0, iv, 0, 16); // 假设IV是密钥的前16字节 SecretKey secretKey = new SecretKeySpec(secretKeyBytes, "AES"); Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding"); cipher.init(Cipher.DECRYPT_MODE, secretKey, new IvParameterSpec(iv)); byte[] decryptedBytes = cipher.doFinal(cipherText); return new String(decryptedBytes, StandardCharsets.UTF_8); } }

   3.4 整合与测试

   将上述解析和解密部分整合，并编写一个简单的测试主类。

   import java.util.Scanner; public class Main { public static void main(String[] args) { Scanner scanner = new Scanner(System.in); try { System.out.print("请输入DBeaver连接配置的名称（如 mysql-8-1234567890）: "); String connectionName = scanner.nextLine(); System.out.print("请输入DBeaver的主密码: "); String masterPassword = scanner.nextLine(); // 注意：控制台输入密码会显示，生产环境应用更安全的方式 // 1. 获取加密的密码 String encryptedPassword = DBeaverPasswordReader.getEncryptedPassword(connectionName); System.out.println("找到加密密码字符串。"); // 2. 解密 String plainPassword = DBeaverDecryptor.decryptPassword(encryptedPassword, masterPassword); System.out.println("解密成功！"); System.out.println("数据库明文密码为: " + plainPassword); } catch (Exception e) { System.err.println("操作失败: " + e.getMessage()); e.printStackTrace(); } finally { scanner.close(); } } }

   运行这个程序，输入正确的连接名和主密码，你应该就能看到解密后的数据库密码了。

   4. 避坑指南与疑难问题排查

   在实际操作中，你几乎一定会遇到问题。下面是我在研究和测试过程中总结的几个关键“坑点”及其解决方案。

   4.1 坑点一：加密格式或算法不匹配

   问题描述：最常见的错误是javax.crypto.BadPaddingException: Given final block not properly padded或类似的解密失败异常。这几乎总是意味着你的解密逻辑（密钥、IV、算法模式）与DBeaver实际使用的加密逻辑不匹配。

   排查思路：

   1. 确认DBeaver版本和配置：不同版本的DBeaver可能使用不同的默认加密参数（如PBKDF2迭代次数、密钥长度）。较新版本可能使用更安全的参数（如更多迭代次数）。最准确的方法是直接查看DBeaver的源代码。你可以去GitHub搜索DBeaver项目，查看SecurePreferences或LocalSecureStorage等相关类。
   2. 检查IV的生成方式：这是最大的变数。上述示例代码假设IV是派生密钥的前16字节。但DBeaver的某些实现可能将IV直接存放在加密数据包中（在盐之后），或者使用固定的IV。你需要仔细分析加密后的字节数组结构。
   3. 算法模式：我们假设是AES/CBC/PKCS5Padding，这也是最常见的。但理论上也可能是其他模式如GCM。

   解决方案：

   • 终极方法——调试DBeaver源码：将DBeaver项目导入IDE，在解密相关代码处设置断点，运行DBeaver并输入主密码，观察它实际调用的算法、参数和数据处理流程。这是最可靠的方式。
   • 尝试常见变体：如果无法调试源码，可以尝试组合不同的参数：
     • 迭代次数：尝试 1, 1000, 10000。
     • 密钥长度：尝试 128, 256。
     • IV来源：尝试从加密数据中偏移8字节盐后直接取16字节作为IV（如果数据格式是Salted__+ 8字节盐 + 16字节IV + 密文）。

   4.2 坑点二：主密码错误或未设置

   问题描述：如果你输入的主密码不正确，或者当前DBeaver配置根本没有设置主密码（即密码以某种“空密钥”或默认方式加密），解密也会失败。

   排查思路：

   • 确保你输入的主密码与你在DBeaver中设置或使用的完全一致，包括大小写和特殊字符。
   • 如果你从未设置过主密码，DBeaver可能会使用一个默认的、空的或基于机器信息的密钥。这种情况下，你可能需要研究DBeaver在无主密码时的降级加密策略（这可能涉及源代码分析）。

   4.3 坑点三：配置文件路径或连接名错误

   问题描述：程序提示找不到文件或连接配置。

   排查思路：

   • 手动打开你的DBeaver配置目录，确认>