配置内容的加解密
在Git仓库中明文存储配置属性的。很多场景下,对于某些敏感的配置内容(例如数据库账号、密码等),应当加密存储。
安装JCE
下载JCE并解压,按照其中的README.txt的说明安装。JCE的安装非常简单,其实就是将JDK/jre/lib/security目录中的两个jar文件替换为压缩包中的jar文件。
Config Server的加解密端点
Config Server提供了加密与解密的端点,分别是/encrypt与/decrypt。
可使用以下代码来加密明文:
curl $CONFIG_SERVER_URL/encrypt -d 想要加密的明文
使用以下代码来解密明文:
curl $CONFIG_SERVER_URL/decrypt -d 想要解密的密文
对称加密
1.复制项目microservice-config-server,将ArtifactId修改为microservice-config-server-encryption。
2.修改application.yml。
encrypt:
key:foo #设置对称密钥
3.测试
输入命令
curl http://localhost:8080/encrypt -d mysecret
可返回一段数据f3c094b8b2af01f525961b29d383c7985e5dd76226443a5fd14340c94c7b84e1,说明mysecret已被加密。
curl http://localhost:8080/decrypt -d {cipher}f3c094b8b2af01f525961b29d383c7985e5dd76226443a5fd14340c94c7b84e1,
可返回mysecret,说明能够正常解密。
存储加密的内容
加密后的文件,可使用{cipher}密文的形式存储。
1.准备一个配置文件,命名为encryption.yml。
spring:
datasource:
username:dbuser
password:'{cipher}{cipher}f3c094b8b2af01f525961b29d383c7985e5dd76226443a5fd14340c94c7b84e1'
2.使用http://localhost/encryption-default.yml可获得如下结果。
说明Config Server能自动解密配置内容。
一些场景下,想要让Config Server直接返回密文本身,而非解密后的内容,可设置spring.cloud.config.server.encrypt.enable=false,这可由Config Client自行解密。
非对称加密
1.复制项目microservice-config-server,将ArtifactId修改为microservice-config-server-encryption-rsa。
2.执行以下命令,并按照提示操作,即可创建一个Key Store。
keytool -genkeypair -alias mytestkey -keyalg RSA -dname “CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US” -keypass changeme -keystore server.jks -storepass letmein
3.将生成的server.jks文件复制到项目的classpath下。
4.在application.yml中添加以下内容。
encrypt:
key-store:
location: classpath:/server.jks #jks文件的路径
password: letmein #storepass
alias: mytestkey #alias
secret: changeme #keypass
这样,使用以下命令:
curl http://localhost:8080/encrypt -d mysevret
相当于对称加密,非对称加密的安全性更高,但对称加密相对方便。读者可按照需求自行选择加密方案。
本文大部分内容转载自周立的《Spring Cloud与Docker微服务架构实战》
499
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
