frps server端配置_Spring Cloud Config (4) - 加密与解密配置信息

最新推荐文章于 2023-04-24 19:41:06 发布
最新推荐文章于 2023-04-24 19:41:06 发布
阅读量337 收藏
点赞数
文章标签: frps server端配置

045044e9af07f4dab5cdd2420a308498.png

在前面几篇中,我们使用Spring Cloud Config构建的配置服务器,存储了服务所需的配置属性。然而,默认情况下,配置服务器是以明文存储所有属性值的。对于如数据库密码这种非常敏感的信息,明文存储是不合适的。Spring Cloud Config为我们提供了非常方便的方法,将敏感信息加密,然后以密文形式存储。本文将采用对称加密方式,介绍如下两个方面:1) 在服务器端对配置信息进行加密并存储。2) 在访问端获取并解密配置信息。什么是对称加密,相信大家都知道。就是使用相同的密钥进行加密和解密,如下图所示:

f3d2f6fc684d4cdef457c119495c3273.png

一、 加密配置信息

要做的步骤有:

1. 打开配置服务器加密功能。

2. 使用配置服务器提供的加密服务,加密敏感信息。

3. 修改配置文件,将明文替换为加密后的文本。

首先,我们在配置服务器端打开加密功能。

只需要做一件事,设置ENCRYPT_KEY环境变量,这就是所谓的对称密钥。如下是在Windows上的设置:

1713e0e2c71c09a99920e3285a3ffc87.png

值可以为任何字符串。在Linux系统上,可以用如下命令设置:

export ENCRYPT_KEY=helloworld22
在很多教程和书籍中,都提到需要下载Oracle的JCE jar包并拷贝到JDK目录下。但是经过小编测试,这一步并不需要。
小编怀疑是跟使用的Spring Cloud版本有关。小编使用的是目前最新版本:Greenwich.SR3,配套的Spring Boot版本为:2.1.10.RELEASE。JDK版本为:1.8。
如果你使用的其他版本,且遇到问题,可以尝试安装Oracle JCE jar包。

现在可以验证一下是否生效,可以首先访问/encrypt/status端点,检查配置服务器的加密服务的状态。如下:

2c34630b39ddce9d3488bf4a5f5bd457.png

上面的返回说明配置服务器的加密服务已经可以正常工作。

接下来,我们使用加密服务为数据库密码进行加密。如下:

b877cd41b653b225cd7b6b18a100af16.png

我们使用配置服务器暴露的/encrypt端点来加密数据库密码。将密码明文POST到服务端,服务端进行加密,然后返回加密后的文本。

现在,我们将配置文件中的明文密码替换成加密后的文本。如下:

32e1c874bc36c1a79c274e3bba13785e.png

对于加密信息,格式必须如上所示,以{cipher}开头跟上加密文本:

{cipher}密文

提交更改到Github后,我们可以测试一下获取配置信息,如下:

e05f018b8c7f0cf704394a8127f03be8.png

二、解密配置信息

从上面的测试可以看到,默认情况下,配置服务器会自动对加密文本进行解密,最后返回解密后的明文给访问者。

在配置服务器端解密的方式,称为Server端解密。这是配置服务器的默认行为。

Server端解密这种方式其实也是不安全的。虽然存储在Github配置文件中的密码是密文,但通过配置服务器暴露的端点获取的却是解密后的明文,这意味在网络中传输的将是这些解密后的明文,这是非常不安全的做法。

解决的办法是使用Client端解密

要实现Client端解密,我们首先要做的是禁用Server端解密的默认行为。

在config-server的src/main/resources下创建bootstrap.yml文件,并在其中添加如下配置:

spring
在小编测试过程中,上面的配置必须放在bootstrap.yml中才能生效。
有些教程或书籍讲的是放在application.yml文件中,但经过小编测试,并不会生效。

配置好后,重启config-server配置服务器。再次测试:

a88ef89dadb43a6d477135459442e207.png

可以看到,现在配置服务器返回的是密文了。

在访问者端,需要对返回的密文进行解密,才能正常使用。

下面我们在account-service上配置解密功能,这样当account-service从配置服务器获得加密密码后,能够自动进行解密并使用。

其实非常简单,要做的就两件事:

1. 在pom.xml中引入spring-security-rsa依赖包,如下:

<dependency>

2. 设置ENCRYPT_KEY环境变量。

ENCRYPT_KEY变量值将作为解密的的密钥,由于我们使用的对称加密方式,即解密密钥必须与加密密钥相同。因此,访问者端的ENCRYPT_KEY变量值必须与配置服务器上的变量值相同。

如果访问者与配置服务器运行在同一个机器上,则配置一次就行了。但如果运行在不同机器上,或不同Docker容器中,则需分别设置该变量。

配置好后,我们可以启动account-service测试一下是否可以正常工作。我们尝试访问/v1/account端点,如下:

1e334cfd9464419081fb5f14c8467227.png

成功返回了账户信息,说明是可以正常访问数据库的。

三、总结

本文是介绍了使用Spring Cloud Config非常重要的一个方面:安全性。如何保护敏感信息,在生产环境中是必须要考虑的事情。

然后Spring Cloud为我们提供了非常方便的手段,几乎不需要开发任何代码,只需要简单的配置即可实现。

然而本文只是介绍了最简单的对称加密/解密方式。其实,Spring Cloud也支持非对称加密方式。

(完)

da95c540a51ef290f1ce62f254b1e0df.png
weixin_39996234
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
frp笔记2(加密
qq_32445755的博客
04-09 1694
frp要进行流量隐匿 服务 添加token [common] bind_port = 7002 token=wxt kcp_bind_port=7002 vhost_https_port = 7001 #当代理出来的是web服务时,在外网访问http://vps的IP:7001 #dashboard_port状态以及代理统计信息展示,网址:7500可查看详情 dashboard_port = 7500 #dashboard_user访问用户dashboard_pwd访问密码 das
FRP进阶篇之安全认证
不甘于平凡的溃败的博客
11-28 1万+
FRP进阶篇之安全认证
frp配置
qq_16657927的博客
01-05 292
frp地址:https://github.com/fatedier/frp/releases frps.ini # 表示配置的开始 [common] #frp服务口 bind_port = 7000 #web映射后的口 vhost_http_port = 8080 # 仪表盘口 dashboard_port = 7500 # frp服务密码 token = ****** # ...
frps server配置_通过Console口登录,看这里!配置Telnet方式登录,还是看这里!...
weixin_39888080的博客
11-29 216
通过Console口登录登录新设备小伙伴们对第一次上电的交换机进行配置时,需要通过Console口登录交换机。如何才能通过Console口登录交换机呢?请向下瞅:步骤1:连线请使用产品随机附带的Console通信线缆的DB9(孔)插头插入PC1的9芯(针)串口(串口标志是COM)插座,再将RJ-45插头插入交换机的Console口中。设备在双主控板的情况下:~~~通信线缆实物外观图~~~~~~通...
FRP内网穿透配置
weixin_53106424的博客
04-14 2411
chmod 777 ./frps # 说明: chmod 777 [程序命令名称]
frp_0.13.0_windows_amd64 -- 亲测可用
04-21
在描述中提到了两个关键文件,`frpc.exe` 和 `frps.exe`,它们分别是FRP的客户和服务器。 1. **FRP客户(frpc.exe)**:客户是部署在内网设备上的组件,它的主要任务是将内网服务暴露到公网。通过配置文件,...
K2P-K2P_3.4.3.9-099_20181012-1309 K2P刷机经典荒野无灯的K2P 老毛子 Padavan
06-19
日期“20181012-1309”表示这个固件是在2018年10月12日的13点09分发布的,这提供了固件的新鲜度和历史信息。 “刷机”在IT领域中通常指的是更新或替换设备的操作系统或固件。对于路由器来说,刷机可以解锁更多高级...
配置nginx保证frps服务器与web共用80口的方法
09-30
主要介绍了frps服务与nginx可共用80口的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
frp_0.37.1-win-linux.rar
10-25
FRP的配置文件分为两部分:frps.ini(服务配置)和frpc.ini(客户配置)。服务配置文件主要包括监听的口、认证信息等;客户配置文件则包含连接服务信息,以及需要被穿透的本地服务的设置。 例如,...
winsw-自启动,开机启动配置.rar
11-06
标题中的“winsw-自...具体的安装和配置过程可能需要参照readMe.txt中的指示进行,包括安装frps-service.exe,配置frps-service.xml,以及设置nginx自启动参数。这有助于提高运维效率,避免手动启动服务的繁琐步骤。
Frp内网穿透——frps服务部署
01-20
由于现在IPv4地址的短缺,在国内不可能每个设备都会分配到一个公网IP,因此从公网中访问自己的私有设备向来是一件难事儿。本次带大家了解一下frp内网穿透的服务教学,让你也能够部署一个内网穿透服务。 frp简介 通俗的说,frp是一个反向代理软件,它不仅轻量且功能很强大,可以使处于内网或防火墙后的设备对外界提供服务,它支持HTTP、TCP、UDP等众多协议。本文使用的版本为v0.32.1做为演示教程。 frp程序文件地址:https://github.com/fatedier/frp/releases 服务器相关 服务器相关: 1.因为frp的原理是利用服务(所准备的具有公网IP的服务器)进
frp ssl证书配置 密钥生成
ziqibit的博客
04-24 2248
frp 使用ssl证书加密传输
内网穿透 frp : 隐藏通信隧道技术
有勇气的牛排博客
02-08 6290
注意事项:1)服务器和内网机器下载的版本要相同,否则可能会影响内网穿透2)根据服务器系统选择合适的脚本脚本主要分为服务与客户文件1.外网服务器用到的是FrpsFrps.ini2.win10电脑用到的是Frpc和Frpc.ini注:服务部署,可以只保留服务文件 frps**​客户部署,可以只保留客户文件 frpc**下载地址:注意下载版本cd frp。
十分钟教你配置frp实现内网穿透
热门推荐
诗雨远方的博客
11-30 45万+
十分钟教你配置frp实现内网穿透 一、frp的作用 利用处于内网或防火墙后的机器,对外网环境提供 http 或 https 服务。 对于 http, https 服务支持基于域名的虚拟主机,支持自定义域名绑定,使多个域名可以共用一个80口。 利用处于内网或防火墙后的机器,对外网环境提供 tcp 和 udp 服务,例如在家里通过 ssh 访问处于公司内网环境内的主机。 二、配置说明 1、...
内网穿透工具FRP配置文件详解
一本正经学技术
07-17 7547
FRP内网穿透工具配置文件服务器配置frps内网机器配置frpc 服务器配置frps 配置文件名称:frps_full.ini # [common] is integral section # [common]是不可缺少的部分 [common] # A literal address or host name for IPv6 must be enclosed # in square brackets, as in "[::1]:80", "[ipv6-host]:http" or "[ipv6-ho
frp内网穿透配置
lzz136313283的博客
03-19 429
目的: frp内网穿透可以用来通过外网来访问本地的服务,比如家里有一台电脑,里面有大容量的机械硬盘可以存很多东西,制作自己的网盘,毕竟云服务器太贵了容量有限, 或者电脑里开启了javaweb服务或其它服务, 可以通过公网来访问。 前提: 1、有一台公网ip的服务器,比如阿里云、腾讯云,公司的静态ip服务器也行,用来提供外网ip地址,下面简称服务; 2、随便一台电脑,需要通过外网来访问其...
配置Nginx反向代理FRPS服务
forwardlee的博客
05-23 3287
配置Nginx反向代理FRPS服务口 文章作用 根据最后的效果图,我们可以看到省去了口号访问,直接用域名访问内网中的项目,方便好记! Nginx简介 开放源代码的高性能HTTP服务器和反向代理服务器,同时支持IMAP和POP3代理 高性能、高可用、丰富的功能模块,低资源占用 高达50000个并发连接 FRP简介 frp 是一个可用于内网穿透的高性能反向代理应用,支...
Centos7安装frp实现内网穿透 - 安全地暴露内网服务
DevOps海洋的渔夫@专栏
11-07 2914
frp介绍 frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp 协议,为 http 和 https 应用协议提供了额外的能力,且尝试性支持了点对点穿透。 frp的Github中文文档 https://github.com/fatedier/frp/blob/master/README_zh.md 需求场景 目前我有一个双机房访问同一个redis服务口号的场景,如果直接将r...
内网穿透------frp配置(服务客户配置)超详细的那种~~~
COCOLI_BK的博客
03-23 8万+
第一步:云服务器上域名解析添加(前提是有域名已经备案) 这里有对应操作截图文件 第二步:下载服务器管理软件 FinalShell SSH工具: http://www.hostbuf.com/c/131.html 必备条件:java配置好,它依赖于java环境 第三步:下载frp内网穿透软件(服务器和客户的均要下载哦) 简单配置介绍 :https://www.xyzbeta.com/460.........
frps配置centos
最新发布
09-01
配置frps服务在Centos上,您可以按照以下步骤进行操作: 1. 创建frp安装目录: 在有公网IP的Centos和无公网IP的Centos上,创建frp安装目录。 在终中执行以下命令: `mkdir -p /usr/local/frp` 2. 下载frp:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值