javascript
Spring Cloud Config 加密和解密
重要 先決條件:要使用加密和解密功能,您需要在JVM中安裝全面的JCE(默認情況下不存在)。您可以從Oracle下載“Java加密擴展(JCE)無限強度管理策略文件”,并按照安裝說明(實際上將JRE lib / security目錄中的2個策略文件替換為您下載的文件)。
如果遠程屬性源包含加密內容(以{cipher}開頭的值),則在通過HTTP發送到客戶端之前,它們將被解密。這種設置的主要優點是,當它們“靜止”時,屬性值不必是純文本(例如在git倉庫中)。如果值無法解密,則從屬性源中刪除該值,并添加具有相同鍵的附加屬性,但以“無效”作為前綴。和“不適用”的值(通常為“<n / a>”)。這主要是為了防止密碼被用作密碼并意外泄漏。
如果要為config客戶端應用程序設置遠程配置存儲庫,可能會包含一個application.yml,例如:
application.yml
spring:datasource:username: dbuserpassword: '{cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ' 復制代碼.properties文件中的加密值不能用引號括起來,否則不會解密該值:
application.properties
spring.datasource.username: dbuser spring.datasource.password: {cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ復制代碼您可以安全地將此純文本推送到共享git存儲庫,并且保密密碼。
服務器還暴露了/encrypt和/decrypt端點(假設這些端點將被保護,并且只能由授權代理訪問)。如果您正在編輯遠程配置文件,可以使用Config Server通過POST到/encrypt端點來加密值,例如
$ curl localhost:8888/encrypt -d mysecret 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda復制代碼逆向操作也可通過/decrypt獲得(如果服務器配置了對稱密鑰或全密鑰對):
注意 如果要加密的值具有需要進行URL編碼的字符,則應使用--data-urlencode選項curl來確保它們已正確編碼。
$ curl localhost:8888/decrypt -d 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda mysecret復制代碼小費 如果您使用curl進行測試,則使用--data-urlencode(而不是-d)或設置顯式Content-Type: text/plain,以確保在有特殊字符時正確地對數據進行編碼('+'特別是棘手)。
將加密的值添加到{cipher}前綴,然后再將其放入YAML或屬性文件中,然后再提交并將其推送到遠程可能不安全的存儲區。
/encrypt和/decrypt端點也都接受/*/{name}/{profiles}形式的路徑,當客戶端調用到主環境資源時,可以用于每個應用程序(名稱)和配置文件控制密碼。
注意 為了以這種細微的方式控制密碼,您還必須提供一種TextEncryptorLocator類型的@Bean,可以為每個名稱和配置文件創建不同的加密器。默認提供的不會這樣做(所有加密使用相同的密鑰)。
spring命令行客戶端(安裝了Spring Cloud CLI擴展)也可以用于加密和解密,例如
$ spring encrypt mysecret --key foo 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda $ spring decrypt --key foo 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda mysecret復制代碼要在文件中使用密鑰(例如用于加密的RSA公鑰),使用“@”鍵入鍵值,并提供文件路徑,例如
關鍵參數是強制性的(盡管有一個--前綴)。完整項目的源碼來源 技術支持1791743380
轉載于:https://juejin.im/post/5b642447e51d45198905777c
總結
以上是生活随笔為你收集整理的Spring Cloud Config 加密和解密的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python爬虫的scrapy安装+py
- 下一篇: javascript闭包,你大爷永远是你