解决Spring Cloud Config API 暴露密码的问题

最新推荐文章于 2024-03-06 10:46:58 发布
最新推荐文章于 2024-03-06 10:46:58 发布
阅读量486 收藏
点赞数
分类专栏: Cloud Spring Cloud 文章标签: 微服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nvd11/article/details/126203223
版权

SpringCloudConfig 配置加密 环境变量 client端解密 安全策略
关键词由CSDN通过智能技术生成

Background

根据 https://blog.csdn.net/nvd11/article/details/126169409
Spring Cloud config 可以方便地对配置内容加密解密, 但是即使我们完成了加解密。

一旦某人知道config server的真实ip地址, 他可以通过下面的url 看到明文密码
在这里插入图片描述

原因和解决方向

原因很简单, 当程序or 用户调用api时, Config server是先解密再传输数据的。
所以要避免这个问题, 我们要领导config server不在 server 端解密, 而在 微服务的 Client端解密, 这样即使有人拿到api 的url, 他看到的仍然是加密后的信息。

Step 1, 在config server 注释掉 之前的key 设置

在这里插入图片描述
如果这时在local 重启 config server
再检查加密环境, 提示key未 ready
在这里插入图片描述

其实保留这个配置也可, 只不过我不想把key放入代码, 利用环境变量设置更加安全。

Step 2,设置环境变量, 设置ENCRYPT_KEY=thekey

如果在local 环境, 在IDE Run configuration 设置既可
在这里插入图片描述
如果在linux server下, 在对应的账号 profile 里 加入

export ENCRYPT_KEY=thekey

在docker 环境下, 在docker file里这个变量

ENV ENCRYPT_KEY=thekey

在windows server 环境下左转C# 不送

这是重启config server
加密 环境又好了
在这里插入图片描述

Step 3,在bootstrap.yml 里设置禁止在server端解密

如果这时我们再次调用API去获得配置文件。
可以看到密码仍然是明文的, 也就是还是被server 端解密了。

我们这时要修改配置, 加入

spring:
  cloud:
    config:
      server:
        encrypt:
          enabled: false

重启config server, 再调用API, 这是返回的是密文了
在这里插入图片描述
这时我们已经可以避免明文密码泄露

Step 4,微服务端(client) 设置client端机密和 key

如果直接启动微服务, 因为config server不再提供解密后的信息。所以会得到下面的error
在这里插入图片描述
其实同样为 这个微服务端加上环境变量 ENCRYPT_KEY=thekey 就ok, 同样的方法

重启服务, 连接数据库成功, 证明成功在Client端解密。

这样就彻底解决 问题

nvd11
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring框架漏洞整理(Spring Cloud Config路径穿越导致的信息泄露)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 1139
CVE-2020-5405 Spring Cloud Config路径穿越导致的信息泄露。 此spring框架漏洞影响版本:spring-cloud-config-server < 2.2.2 https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/65bbd0ec4f2fd012318f7d91548ba1f338d5e064/Spring%20Cloud/CVE-2020-5405%20Spring%20Cloud
spring cloud config
12-09
Spring Cloud Config 是一个用于分布式系统配置管理的框架,它允许开发者在远程服务器上集中管理和版本化应用的配置,而不是在每个应用本地存储配置。这种方式在微服务架构中尤其有用,因为多个独立的服务需要共享和...
SpringCloud-ConfigServer加密配置文件中的用户和密码的另一种方法】
bingbao的专栏
03-06 231
SpringCloud-ConfigServer工程集成jasypt-spring-boot-starter对配置文件中的用户名和密码加密时,自定义的加密方法总是不生效。查不出什么原因。所以直接通过反编译代码的方式解决
springcloud配置中心config的加解密
baidu_21349635的专栏
07-24 1405
配置信息的加密 在配置中心中,有些信息是比较敏感的,比如密码信息,在配置密码信息的时候有必要对密 码信息加密以免密码信息泄露,springcloud 配置中心也支持配置信息加密的,这里一 RSA 非对称加密举例: 1、本地生成秘钥对 cd 到 jdk 的 keytool 目录:D:\Program Files\Java\jdk1.8.0_92\jre\bin 里面有一个 keytool.exe 可执行文件 2、执行指令生成秘钥文件 keytool -genkeypair -alias config-
spring cloud config 加密使用
jie310600的博客
06-29 193
[b]spring cloud config 加密使用[/b] 数据不加密放在git上的比较危险的 加密后就可以让config server 进行解密,这样会比较安全 [b]下载Java 8 JCE(默认使用的是有长度限制的版本,所以要用这个)[/b] [url]http://www.oracle.com/technetwork/java/javase/downloads/jce8...
Spring Boot/Cloud 对配置文件中的明文密码进行自动加解密
weixin_42764711的博客
04-28 829
jasypt-spring-boot 在日常的开发中,我们会在配置文件中存储一些私密的数据,例如: 数据库账号 、密码、请求三方所需要的AppId等。 如果我们只是简单的使用明文存储,一旦项 目出现泄漏,那很容易密码就被其他人获取,那就很危险了。 今天推荐一个很容易集成到项目中,进行加解密的项目jasypt-spring-boot。 使用 官方提供了三种引入jasypt-spring-bo...
利用spring config自带加密功能对配置文件进行加密
yf_mood的博客
11-14 1233
1.下载无长度限制的jce_policy-8 下载地址:http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html 注意需下载与JDK版本相对应的JCE,解压后替换掉放到${JAVA_HOME}/jre/lib/security目录下的两个jar包 local_policy.jar 和...
springcloud-config
03-29
SpringCloud Config 是一个分布式配置中心,它允许开发者在微服务架构中集中管理和版本化应用配置。这个工具使得在运行时动态地更新配置变得可能,无需重新部署应用。下面将详细介绍 SpringCloud Config 的核心概念...
SpringCloud资源文件.zip
最新发布
05-15
3. **API路由与过滤**:Zuul或Spring Cloud Gateway作为API网关,对外暴露统一接口,处理请求分发,同时可以实现权限验证、日志记录等功能。 4. **服务调用**:服务之间通过Feign或者Ribbon进行远程调用,Feign是...
springcloud模板
05-12
SpringCloud是一款基于Java的微服务框架,用于简化分布式系统开发,它集成了多个微服务相关的开源项目,提供了包括服务发现、负载均衡、断路器、数据流、配置中心等核心功能。本模板针对初学者,提供了快速搭建...
springcloud
03-08
在实际开发中,还可以加入 Spring Cloud Config 作为配置中心,Spring Cloud Bus 用于配置的动态刷新,Spring Cloud Gateway 作为新一代的 API 网关,以及 Spring Cloud Sleuth 实现链路追踪等。Spring Cloud 的整体...
spring cloud nacos服务注册与发现例子
01-21
1. **添加依赖**:在Maven的pom.xml文件中,引入Spring Cloud Alibaba Nacos的相关依赖,包括starter、discovery和config等。 2. **配置Nacos**:在application.properties或yaml文件中,配置Nacos服务器的地址、...
springcloud-doubbo 研究学习
07-25
《深入探索SpringCloud与Dubbo整合实践》 在当今的微服务架构中,Spring Cloud和Dubbo都是非常重要的组件。Spring Cloud以其丰富的生态系统和强大的服务治理能力,成为了许多开发者构建云原生应用的首选。而Dubbo,...
SpringCloud与seata简答
10-07
* 服务调用方式:dubbo是RPC,springcloud是Rest Api * 注册中心:dubbo是zookeeper,springcloud是eureka,也可以是zookeeper * 服务网关:dubbo本身没有实现,只能通过其他第三方技术整合,springcloud有Zuul路由...
SpringCloud各组件使用
03-14
**Config统一配置中心**是SpringCloud提供的一种集中式、外部化配置的解决方案。它允许开发者将应用程序的配置存储在远程仓库(如Git),并动态地推送到运行中的应用实例。Config Server作为配置的中心节点,管理...
SpringCloudSpring Config配置中心用户认证及配置内容加解密
weixin_44842084的博客
07-12 1323
文章目录一、环境及场景二、用户认证1.添加依赖2.在application.yml中添加配置3.展示效果:4.客户端使用需要用户认证的ConfigServer4.1 使用Curl风格的URL。示例:4.2 指定ConfigServer的账户密码。示例:三、配置内容加解密安装JCE1.对称加密1.1 设置一个加密用到的Key1.2 对内容加密,解密1.3 存储加密的内容1.4 测试1.5 设置返回密文1.6 客户端自行解密1.6.1 添加依赖1.6.2 设置配置2.非对称加密 一、环境及场景 场景: Conf
No7.【spring-cloud-alibaba】用户登录密码加密、密码登录模式添加验证码校验
键上艺术家
11-09 1913
终于结束从零搭建springcloud的部分了,目前也仅仅是学习了最最基本的逻辑,同时包含了开发系统的一些基本的逻辑。接下来就按照 pig 文档将其余基本的内容再熟悉一下,看一遍和写一遍真的不一样呐~~~那接下来就一小模块一小模块的学习啦,加油吧少年!本文及以后的文章还是基于前面的No6系列文章开发的,可以看之前文章顶部的内容总结,简单了解详情~
springcloud_config教程(3)--配置加密与安全
a561066292的博客
08-02 3299
    之前的工程存在两个问题:     1)可以随意通过url获取到config-server的内容,不安全。     2)配置文件保存在git中,配置中的敏感信息有泄漏风险;     本文的目的就是解决以上两个问题,使用的工程是上一篇的工程。     一.使用spring-security来限制通过url获取配置内容。     1.在config-server工程中增加依赖: ...
linux 搭建emby+clouddrive+115云盘 家庭影院解决方案 流媒体
热门推荐
石宗昊的博客
10-09 1万+
我自己云机搭建的 https://video.2048.top 可以私聊找我要体验账号 前言 借鉴: 1.https://sbugzu.github.io/articles/2021-09/clouddrive-and-plex 2.https://www.52pojie.cn/thread-1490131-1-1.html 3.https://blog.kls.red/index.php/jishu/33.html 4.https://post.smzdm.com/p/ax0r7pe9/ 其实看上面几个链
SpringCloudconfig怎么实现的
05-22
配置服务器(即 Spring Cloud Config Server)是一个独立的微服务,它可以从 Git,Svn,文件系统等各种后端存储中读取配置信息,并将其暴露给客户端应用程序。客户端应用程序(即 Spring Cloud Config Client)将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nvd11

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值