在Java微服务生态中，Druid已然成为SpringBoot项目的“标配”组件。然而，绝大多数项目仅将其视为数据库连接池的替代品，而忽略了其作为可观测性平台与安全防护层的核心价值。本文旨在系统性地梳理Druid的正确集成方式、关键配置解读及生产级加固策略，基于SpringBoot3+MyBatisPlus实战演示，确保你的Druid不仅“跑起来”，更能“跑得明白、跑得安全”。

一、Druid的核心价值：超越连接池的定位

Druid并非简单的连接池实现，它集成了以下关键能力：

核心认知：Druid的真正价值不在于“连接池”，而在于可观测性与安全防护的深度融合。

二、SpringBoot3+MyBatisPlus集成实战

2.1依赖配置（版本适配是关键）

SpringBoot3基于JakartaEE9，ServletAPI包名从`javax.`迁移至`jakarta.`，因此必须使用兼容的Druid版本。

```xml

<dependency>

<groupId>com.alibaba</groupId>

<artifactId>druidspringboot3starter</artifactId>

<version>1.2.27</version>

</dependency>

```

避坑提示：SpringBoot3项目必须使用`druidspringboot3starter`且版本≥1.2.16，否则`StatViewServlet`无法注册，导致`/druid`监控页面404。

2.2核心配置（YAML格式）

以下配置涵盖了连接池基础参数、监控功能及防火墙规则：

```yaml

spring:

datasource:

url:jdbc:mysql://localhost:3306/test_druid

username:root

password:111111

driverclassname:com.mysql.cj.jdbc.Driver

type:com.alibaba.druid.pool.DruidDataSource

druid:

连接池基础参数

initialsize:3

minidle:3

maxactive:10

maxwait:10000

validationquery:SELECT1

testwhileidle:true

监控Servlet配置

statviewservlet:

enabled:true必须显式开启，默认false

urlpattern:/druid/

resetenable:false禁止重置监控数据（安全加固）

loginusername:monitor

loginpassword:S3cureP@ss!2026

Web请求统计

webstatfilter:

enabled:true

urlpattern:/

exclusions:".js,.css,/druid/"

过滤器配置

filter:

stat:SQL统计过滤器

enabled:true

dbtype:mysql

slowsqlmillis:2000慢查询阈值（毫秒）

logslowsql:true

wall:SQL防火墙

enabled:true

dbtype:mysql

config:

droptableallow:false禁止DROPTABLE

truncateallow:false禁止TRUNCATE

nonebasestatementallow:false禁止非CRUD语句（如DCL）

额外属性：设置慢SQL判定阈值（覆盖默认值）

connectionproperties:druid.stat.slowSqlMillis=1000

```

2.3实体与Mapper定义

```java

@Data

@TableName("user")

publicclassUser{

@TableId(type=IdType.AUTO)

privateLongid;

privateStringname;

}

@Mapper

publicinterfaceUserMapperextendsBaseMapper<User>{

//用于防火墙测试的合法但危险语句

@Select("DROPTABLEIFEXISTStest_hack_table")

voidexecuteDangerDDL();

@Select("GRANTUSAGEON.TO'fake_user'@'localhost'")

voidexecuteDangerDCL();

}

```

2.4测试Controller：验证三大核心能力

```java

@RestController

@RequestMapping("/api/user")

publicclassUserController{

@Autowired

privateUserMapperuserMapper;

//✅新增

@PostMapping

publicStringcreateUser(@RequestBodyUseruser){

userMapper.insert(user);

return"UsercreatedwithID:"+user.getId();

}

//✅查询

@GetMapping

publicList<User>listUsers(){

returnuserMapper.selectList(null);

}

//✅更新

@PutMapping("/{id}")

publicStringupdateUser(@PathVariableLongid,@RequestParamStringnewName){

UpdateWrapper<User>wrapper=newUpdateWrapper<>();

wrapper.eq("id",id).set("name",newName);

userMapper.update(null,wrapper);

return"Userupdated";

}

//✅删除

@DeleteMapping("/{id}")

publicStringdeleteUser(@PathVariableLongid){

userMapper.deleteById(id);

return"Userdeleted";

}

//✅真实慢SQL（利用MySQLSLEEP函数）

@GetMapping("/slow")

publicObjectrealSlowSql(){

returnuserMapper.selectList(

newQueryWrapper<User>().apply("SLEEP(3)=0")

);

}

//✅测试防火墙拦截DDL

@GetMapping("/danger/ddl")

publicStringtestDDL(){

try{

userMapper.executeDangerDDL();

}catch(Exceptione){

return"WallFilter拦截成功！原因:"+e.getMessage();

}

return"防火墙未生效！危险！";

}

//✅测试防火墙拦截DCL

@GetMapping("/danger/dcl")

publicStringtestDCL(){

try{

userMapper.executeDangerDCL();

}catch(Exceptione){

return"DCL被拦截:"+e.getMessage();

}

return"DCL未拦截！";

}

}

```

三、常见问题排查与解决

四、生产环境安全加固

Druid监控页面暴露了详细的SQL执行信息，必须纳入安全管控体系：

1.禁止重置监控数据

`resetenable:false`可防止攻击者清空日志掩盖痕迹。

2.IP白名单限制（配合SpringSecurity）

```java

@Bean

publicSecurityFilterChainfilterChain(HttpSecurityhttp)throwsException{

http.authorizeHttpRequests(auth>auth

.requestMatchers("/druid/").hasIpAddress("10.0.0.0/8")

.anyRequest().authenticated()

);

returnhttp.build();

}

```

3.敏感信息外部化

将监控账号密码通过环境变量注入，避免硬编码：

```yaml

loginpassword:${DRUID_MONITOR_PASSWORD}

```

安全原则：监控页面等同于管理后台，必须按最高权限进行保护。

五、结语

Druid的强大不在于“默认就能用”，而在于你是否真正理解并激活了它的全部能力。当你在监控面板中清晰看到：

每一条业务SQL的执行轨迹，

每一个慢查询的性能瓶颈，

每一次危险操作的拦截记录，

你才真正拥有了一个可观测、可防御、可优化的数据访问层。遵循本文的实践指南，让你的Druid不仅“跑起来”，更能成为微服务架构中不可或缺的稳定性与安全性基石。