专栏首页A周立SpringCloudConfig Server——配置内容的加密与解密 详解

Config Server——配置内容的加密与解密 详解

我们在Git仓库中存储的都是明文,但在很多场景下,某些敏感的配置内容(例如数据库账号、密码),应当被加密存储以提高安全性。Config Server为配置内容的加密与解密提供了支持。

安装JCE

Config Server的加解密功能依赖Java Cryptography Extension(JCE)。

Java 8 JCE的地址是:http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html 。

下载JCE,解压后,按照README.txt的说明即可安装,其实就是将JDK/jre/lib/security目录中的两个jar文件替换为JCE中的jar文件。

其他Java版本的JCE的下载地址及安装在Spring Cloud 文档中有提及,详见:http://cloud.spring.io/spring-cloud-static/Camden.SR2/#_cloud_native_applications

加解密端点

Config Server为我们提供了加密与解密的端点,分别是/encrypt/decrypt。我们可使用

 curl $CONFIG_SERVER_URL/encrypt -d 想要加密的明文

来加密明文。使用

 curl $CONFIG_SERVER_URL/decrypt -d 想要解密的密文

来解密密文。

编写代码

(1) 复制项目microservice-config-server ,将ArtifactId修改为microservice-config-server-encryption

(2) 修改application.yml,添加以下内容:

 encrypt:  key: foo  # 设置对称密钥

这样,代码就编写完成了。

测试

(1) 输入命令

 curl http://localhost:8080/encrypt -d mysecret

返回851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3 。说明mysecret 被加密了。

(2) 输入命令

 curl http://localhost:8080/decrypt -d 851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3

可返回mysecret ,说明能够正常解密。

存储加密的内容

加密后的内容,使用{cipher}密文 的形式存储。

测试:

(1) 准备一个配置文件,命名为encryption.yml

 spring:  datasource:    username: dbuser    password: '{cipher}851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3'

并将其push到Git仓库https://git.oschina.net/itmuch/spring-cloud-config-repo。此处需注意spring.datasource.password上的单引号不能少。如果使用的是properties则无需使用单引号,例如:

 spring.datasource.username=dbuserspring.datasource.password={cipher}851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3

这是由yaml与properties的解析机制所决定的。

(2) 使用http://localhost:8080/encryption-default.yml 可获得以下结果:

 profile: defaultspring:  datasource:    password: mysecret    username: dbuser

说明Config Server能够自动地为我们解密配置内容。

一些场景下,我们可能想要让Config Server直接返回密文本身,而并非解密后的内容,这时可设置spring.cloud.config.server.encrypt.enabled=false 。这时可由Config Client自行解密。

非对称加密

上文中,我们讨论的加密方式是对称加密,Spring Cloud同样支持非对称加密。

(1) 复制项目microservice-config-server ,将ArtifactId修改为microservice-config-server-encryption-rsa

(2) 创建一个Key Store,并将生成的文件复制到项目的classpath下。

 keytool -genkeypair -alias mytestkey -keyalg RSA -dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US" -keypass changeme -keystore server.jks -storepass letmein

(3) 在application.yml中添加以下内容:

 encrypt:  keyStore:    location: classpath:/server.jks # jks文件的路径    password: letmein               # storepass    alias: mytestkey                # alias    secret: changeme                # keypass

这样我们使用命令curl http://localhost:8080/encrypt -d mysecret ,将会得到以下结果:

 AQB38UyNckYzW64rvsaIhy0OV4MUmS7krdHrw+VLUdqXJ4ZVdZL8/ouwSOAYM+6MSjKvzmkaU8Iv2cQ5MWhlZhCrm0f0d2ubc1MH96KBHTix9AroajeTiofPwPoBnWfBo9cC4PU1vD+rcvAvwvdR5q7rYbFc4yut4uJZRzpAXGgf680kAtb6tEtLx7c4/35PEaGXFWd2m8gn21vzWdvhbP6cdC9YlburL0Rq/0H1G+uEX99ZVIWJ0hVn4rplLWPMLUGA2ZVEyVRorIRX/2z5MU7cVPtJ6X1JZDpU4GVz8/3rD5BnbVFTGo6DfBrEzJn58Bzjl6aqo9ca/3j42RHOoQDOHXGqRX/843RbPdvMqTZd0rTOBHTUrVG9E15sCajiLkw=

相对于对称加密,非对称加密的安全性更高,但对称加密相对方便。读者可按照需求自行选择。

拓展阅读

http://stackoverflow.com/questions/30131598/spring-cloud-config-server-where-to-set-encrypt-key-to-enable-encrypt-endpoinhttps://juliomunoz.wordpress.com/2014/12/10/probando-spring-netflix-parte-1-spring-cloud-config-server/

本文分享自微信公众号 - A周立SpringCloud(gh_e6849e368b5f),作者:周立

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-01-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 跟我学Spring Cloud(Finchley版)-21-Spring Cloud Config-配置属性加解密

    前文都是将配置明文存储在Git仓库中,但在实际项目中,敏感的配置属性(例如数据库账号、密码等),都应加密存储,从而提高安全性。

    用户1516716
  • 如何自定义微服务的Instance ID

    本文我们来探讨如何自定义微服务的Intance ID。Instance ID用于唯一标识注册到Eureka Server上的微服务实例。 我们可在Eureka ...

    用户1516716
  • 解锁新姿势:探讨复杂的 if-else 语句“优雅处理”的思路

    在之前文章说到,简单 if-else,可以使用 卫语句 进行优化。但是在实际开发中,往往不是简单 if-else 结构,我们通常会不经意间写下如下代码:

    用户1516716
  • 流式数据 | 天天在做大数据,你的时间都花在哪了

    大数据做了这许多年,有没有问过自己,大数据中,工作量最大和技术难度最高的,分别是什么呢? 01 大数据时代 我每天都在思考,思考很重要,是一个消化和不断深入的过...

    用户1332428
  • AI 技术讲座精选:菜鸟学深度学习(一)

    【AI100 导读】在本系列中,你将会学习如何利用深度学习解决那些比较简单的问题。在解决问题的过程中,你不仅会学到深度学习中的某一种类型,也可以在 Keras ...

    AI科技大本营
  • Oracle 表空间管理

    33.12. Oracle 表空间 33.12.1. 查询空闲表空间 select tablespace_name,file_id,block_id,bytes...

    netkiller old
  • 用两张图告诉你,为什么你的App会卡顿?

    知道setContentView()之后发生了什么? 知道Android究竟是如何在屏幕上显示我们期望的画面的? 对Android的视图架构有整体把握。 学会从...

    用户1269200
  • Moloch 那些不得不说的事

    谈及 Moloch, 想必大家都知道” moloch 是一个开源的、大规模的 IPv4 数据包捕获(PCAP),索引数据库系统。“ 它以标准 pcap 格式存储...

    信安之路
  • Oracle 表空间管理

    33.12. Oracle 表空间 33.12.1. 查询空闲表空间 select tablespace_name,file_id,block_id,bytes...

    netkiller old
  • AI移动自动化测试框架设计(解读)

    传统的UI自动化框架(UIAutomator、Espresso、appium等),或多或少在这些方法做的不够完美。

    软测小生

扫码关注云+社区

领取腾讯云代金券