本文介绍了如何在SpringBoot中处理加密配置属性。通过实现EnvironmentPostProcessor接口,可以在应用启动前解密配置文件中的敏感信息,如数据库密码。同时,文章提到了使用HashiCorp Vault作为安全存储凭据的解决方案,详细阐述了Spring Cloud Vault的配置和使用,包括通用秘钥后端和数据库秘钥后端,以动态生成和管理数据库凭据。
SpringBoot不提供任何对加密属性值的内置支持,但是,它提供了修改Spring环境中包含的值所必需的挂接点。
一、EnvironmentPostProcessor
EnvironmentPostProcessor接口允许您在应用程序启动之前操作环境,允许在刷新应用程序上下文之前自定义应用程序环境。
EnvironmentPostProcessor的实现类必须在META-INF/Spring.Factories中注册,并使用此类的完全限定名作为键。
EnvironmentPostProcessor检测Spring的Ordered是否已实现,或者@order注释是否存在,如果存在,则在调用之前对实例进行相应排序。
所以你可以在启动之前
自己实现加解密的方法,在配置文件中使用密文,比如:
spring:
datasource:
password: a3Ehaf0f/S1Rt6JfOGfQ+w==
jwt:
secret: a3Ehaf0f/S1Rt6JfOGfQ+w==
实现EnvironmentPostProcessor,在其中执行解密操作,简单示例如下:
package org.itrunner.heroes.config;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.env.EnvironmentPostProcessor;
import org.springframework.boot.env.OriginTrackedMapPropertySource;
import org.springframework.boot.env.YamlPropertySourceLoader;
import org.springframework.core.env.ConfigurableEnvironment;
import org.springframework.core.env.MapPropertySource;
import org.springframework.core.env.PropertySource;
import org.springframework.core.io.ClassPathResource;
import org.springframework.core.io.Resource;
import java.io.IOException;
import java.util.Map;
public class DecryptedEnvironmentPostProcessor implements EnvironmentPostProcessor{
private final YamlPropertySourceLoader loader = new YamlPropertySourceLoader();
@Override
public void postProcessEnvironment(ConfigurableEnvironment environment, SpringApplication application){
Resource path = new ClassPathResource("config.yml");
PropertySource> propertySource = loadYaml(path);
environment.getPropertySources().addLast(propertySource);
}
private PropertySource> loadYaml(Resource path) {
if (!path.exists()) {
throw new IllegalArgumentException("Resource " + path + " does not exist");
}
try {
OriginTrackedMapPropertySource propertySource = (OriginTrackedMapPropertySource) loader.load("custom-resource", path).get(0);
return new DecryptedMapPropertySource(propertySource);
} catch (IOException ex) {
throw new IllegalStateException("Failed to load yaml configuration from " + path, ex);
}
}
private static class DecryptedMapPropertySource extends MapPropertySource{
public DecryptedMapPropertySource(OriginTrackedMapPropertySource propertySource){
super(propertySource.getName(), propertySource.getSource());
}
@Override
public Object getProperty(String name){
Object value = super.getProperty(name);
if (value instanceof CharSequence) {
// 执行解密,返回明文
return "DecryptedValue";
}
return value;
}
}
}
自定义的EnvironmentPostProcessor需在META-INF/spring.factories内注册:
org.springframework.boot.env.EnvironmentPostProcessor=org.itrunner.heroes.config.DecryptedEnvironmentPostProcessor
二、HashiCorp Vault
如果您正在寻找一种安全的方法来存储凭证和密码,那么Spring Cloud Vault 项目提供了在HashiCorp Vault项目存储外部化配置的支持。
Spring Cloud Vault是Spring Cloud堆栈的一个新增功能,允许应用程序以透明的方式访问存储在Vault实例中的机密配置。
为了在基于Maven的Spring Boot项目中包含spring-cloud-vault库,我们使用相关的启动工件,它将获取所有必需的依赖项。
除了主要启动器之外,我们还将包括spring-vault-config-databases,它增加了对动态数据库凭据的支持:
org.springframework.cloud
spring-cloud-starter-vault-config
org.springframework.cloud
spring-cloud-vault-config-databases
基本配置
为了正常工作,Spring Cloud Vault需要一种方法来确定联系Vault服务器的位置以及如何针对它进行身份验证。
我们通过在bootstrap.yml或bootstrap.properties中提供必要的信息来实现此目的:
spring:
cloud:
vault:
uri: https://localhost:8200
connection-timeout: 5000
read-timeout: 15000
config:
order: -10
ssl:
trust-store: classpath:/vault.jks
trust-store-password: changeit
该spring.cloud.vault.uri属性指向Vault库的API地址。由于我们的测试环境使用带有自签名证书的HTTPS,因此我们还需要提供包含其公钥的密钥库。
请注意,此配置没有身份验证数据。对于最简单的情况,我们使用固定令牌,我们可以通过系统属性spring.cloud.vault.token或环境变量传递它。这种方法可以与标准云配置机制结合使用,例如Kubernetes的ConfigMaps或Docker机密。
Spring Vault还需要为我们要在应用程序中使用的每种类型的Secret配置额外的配置。以下部分描述了我们如何添加对两种常见Secret类型的支持:键/值和数据库凭据。
kv:
enabled: false
backend: kv
application-name: fakebank
database:
enabled: true
role: fakebank-accounts-ro
backend: database
username-property: spring.datasource.username
password-property: spring.datasource.password
4.使用Generic Secrets后端
我们使用通用机密后端来访问存储在Vault中的键值对的无版权机密。
假设我们的类路径中已经有spring-cloud-starter-vault-config依赖项,我们所要做的就是在应用程序的bootstrap.yml配置文件中添加一些属性:
spring:
cloud:
vault:
generic:
enabled: true
application-name: fakebank
在这种情况下,属性application-name是可选的。如果未指定,Spring将采用标准spring.application.name的值。
我们现在可以使用存储在secret/fakebank中的所有键/值对作为任何其他Environment属性。以下代码段显示了我们如何读取存储在此路径下的api_key键的值:
@Autowired Environment env;
public String getApiKey(){
return env.getProperty("api_key");
}
我们可以看到,代码本身对Vault一无所知,这是一件好事!我们仍然可以在本地测试中使用固定属性,并通过在bootstrap.yml中启用单个属性来切换到Vault 。
关于Spring配置文件的一点说明
如果在当前环境中可用,则Spring Cloud Vault 将使用可用的配置文件名称作为附加到指定基本路径的后缀,搜索其中的键/值对。
它还将在可配置的默认应用程序路径下查找属性(使用或不使用配置文件后缀),这样我们就可以在一个位置拥有共享机密。请谨慎使用此功能!
总而言之,如果fakebank 应用程序的生产配置文件处于活动状态,Spring Vault将查找存储在以下路径下的属性:
secret/fakebank/production(更高优先级)
secret/fakebank
secret/application/production
secret/application(优先级较低)
在前面的列表中,application是Spring用作Secret的默认附加位置的名称。我们可以使用spring.cloud.vault.generic.default-context属性对其进行修改。
5.使用数据库密钥后端
数据库后端模块允许Spring应用程序使用由Vault创建的动态生成的数据库凭据。Spring Vault在标准的spring.datasource.username和spring.datasource.password属性下注入这些凭据,因此可以通过常规DataSource选择它们。
请注意,在使用此后端之前,我们必须在Vault中创建数据库配置和角色,如上一个教程中所述。
为了在Spring应用程序中使用Vault生成的数据库凭据,spring-cloud-vault-config-databases必须存在于项目的类路径中,以及相应的JDBC驱动程序。
我们还需要通过在bootstrap.yml中添加一些属性来在我们的应用程序中使用它:
spring:
cloud:
vault:
database:
enabled: true
role: fakebank-accounts-ro
backend: database
这里最重要的属性是role属性,它包含存储在Vault中的数据库角色名称。在引导期间,Spring将联系Vault并请求它创建具有相应权限的新凭据。
默认情况下,保管库将在配置的生存时间之后撤消与这些凭据关联的权限。
幸运的是,Spring Vault将自动续订与获取的凭据相关的租约。通过这样做,只要我们的应用程序运行,凭据就会保持有效。
现在,让我们看看这种整合的实际效果。以下代码段从Spring管理的DataSource获取新的数据库连接:
Connection c = datasource.getConnection()
再一次,我们可以看到代码中没有使用Vault的迹象。所有集成都发生在环境级别,因此我们的代码可以像往常一样轻松进行单元测试。
623
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
