Spring Cloud Config 加密和解密
重要 先决条件:要使用加密和解密功能,您需要在JVM中安装全面的JCE(默认情况下不存在)。您可以从Oracle下载“Java加密扩展(JCE)无限强度管理策略文件”,并按照安装说明(实际上将JRE lib / security目录中的2个策略文件替换为您下载的文件)。
如果远程属性源包含加密内容(以{cipher}
开头的值),则在通过HTTP发送到客户端之前,它们将被解密。这种设置的主要优点是,当它们“静止”时,属性值不必是纯文本(例如在git仓库中)。如果值无法解密,则从属性源中删除该值,并添加具有相同键的附加属性,但以“无效”作为前缀。和“不适用”的值(通常为“<n / a>”)。这主要是为了防止密码被用作密码并意外泄漏。
如果要为config客户端应用程序设置远程配置存储库,可能会包含一个application.yml
,例如:
application.yml
spring:datasource:username: dbuserpassword: '{cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ'
复制代码
.properties文件中的加密值不能用引号括起来,否则不会解密该值:
application.properties
spring.datasource.username: dbuser
spring.datasource.password: {cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ复制代码
您可以安全地将此纯文本推送到共享git存储库,并且保密密码。
服务器还暴露了/encrypt
和/decrypt
端点(假设这些端点将被保护,并且只能由授权代理访问)。如果您正在编辑远程配置文件,可以使用Config Server通过POST到/encrypt
端点来加密值,例如
$ curl localhost:8888/encrypt -d mysecret
682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda复制代码
逆向操作也可通过/decrypt
获得(如果服务器配置了对称密钥或全密钥对):
注意 如果要加密的值具有需要进行URL编码的字符,则应使用--data-urlencode
选项curl
来确保它们已正确编码。
$ curl localhost:8888/decrypt -d 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
mysecret复制代码
小费 如果您使用curl进行测试,则使用--data-urlencode
(而不是-d
)或设置显式Content-Type: text/plain
,以确保在有特殊字符时正确地对数据进行编码('+'特别是棘手)。
将加密的值添加到{cipher}
前缀,然后再将其放入YAML或属性文件中,然后再提交并将其推送到远程可能不安全的存储区。
/encrypt
和/decrypt
端点也都接受/*/{name}/{profiles}
形式的路径,当客户端调用到主环境资源时,可以用于每个应用程序(名称)和配置文件控制密码。
注意 为了以这种细微的方式控制密码,您还必须提供一种TextEncryptorLocator
类型的@Bean
,可以为每个名称和配置文件创建不同的加密器。默认提供的不会这样做(所有加密使用相同的密钥)。
spring
命令行客户端(安装了Spring Cloud CLI扩展)也可以用于加密和解密,例如
$ spring encrypt mysecret --key foo
682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
$ spring decrypt --key foo 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
mysecret复制代码
要在文件中使用密钥(例如用于加密的RSA公钥),使用“@”键入键值,并提供文件路径,例如
$ spring encrypt mysecret --key @${HOME}/.ssh/id_rsa.pub
AQAjPgt3eFZQXwt8tsHAVv/QHiY5sI2dRcR+...复制代码
关键参数是强制性的(尽管有一个--
前缀)。完整项目的源码来源 技术支持1791743380
转载于:https://juejin.im/post/5b642447e51d45198905777c
Spring Cloud Config 加密和解密相关推荐
- Spring Cloud Config配置文件加解密
Spring Cloud Config配置文件加解密 坑爹的问题 > curl http://localhost:8888/encrypt -d 123{"description&qu ...
- Spring Cloud Config服务端配置细节(二)之加密解密
在微服务架构中,由于独立的服务个数众多,加上前期测试工作量大,一些原本由运维人员维护的敏感信息会被我们直接写在微服务中,以提高开发效率,但是这种明文存储方式显然是非常危险的,所以我们要对这些信息进行加 ...
- 使用对称加密来加密Spring Cloud Config配置文件
补充 使用Spring Cloud Config加密功能需要下载JCE扩展,用于生成无限长度的密文.链接:http://www.oracle.com/technetwork/java/javase/d ...
- Spring Cloud Config 配置的加密解密
配置内容的加密解密 很多场景下很多场景下,对于某些敏感的配置内容,例如数据库账号密码等应当加密存储.Config Server为配置内容的加密与解密提供了支持. 安装JCE Config Server ...
- Spring Cloud Config - RSA简介以及使用RSA加密配置文件
简介 RSA非对称加密有着非常强大的安全性,HTTPS的SSL加密就是使用这种方法进行HTTPS请求加密传输的.因为RSA算法会涉及Private Key和Public Key分别用来加密和解密,所以 ...
- 为Spring Cloud Config插上管理的翅膀
最近一致在更新Spring Cloud Config的相关内容,主要也是为这篇埋个伏笔,相信不少调研过Spring Cloud Config的用户都会吐槽它的管理能力太弱.因此,就有了下面为讲推荐的这 ...
- Spring Cloud Config采用数据库存储配置内容
在之前的<Spring Cloud构建微服务架构:分布式配置中心>一文中,我们介绍的Spring Cloud Server配置中心采用了Git的方式进行配置信息存储.这一设计巧妙的利用Gi ...
- Spring cloud config 分布式配置中心(一) 服务端
作用: 为分布式系统中的基础设施和微服务应用提供外部集中化的配置支持,分客户端和服务端 服务端: 即分布式配置中心,是一个独立的微服务应用,连接配置仓库,为客户端提供一些访问接口,如加密 / 解密信息 ...
- spring cloud 入门系列七:基于Git存储的分布式配置中心--Spring Cloud Config
我们前面接触到的spring cloud组件都是基于Netflix的组件进行实现的,这次我们来看下spring cloud 团队自己创建的一个全新项目:Spring Cloud Config. 它用来 ...
最新文章
- 对ESB概念的理解(转)
- restorecon
- [video super resolution] ESPCN论文笔记
- html表ge模板_16款用户体验优秀的HTML CSS价格表格模板 附演示及下载
- 全代码实现ios-4
- 输入字符串统计字符串中每个字符出现的次数
- cnsl是什么意思_VS2010下创建静态链接库和动态链接库
- 支持向量机——Large Margin Classifier
- python装饰器简单理解_python装饰器的简单理解
- 数据科学(data science)概览
- api调用实例python_调用阿里云API 的demo示例(java/python)
- 满足互动、发出用户民意的BBS论坛
- Mac OS制作Ubuntu安装U盘
- 五,JavaScript数组·上
- pat 乙级 1015. 德才论(25)
- uniapp 小程序横屏处理方案
- 迭代硬阈值算法IHT:Iterative Hard-Thresholding
- 深度剖析E680I/G应用[转贴]
- 沧田 DT812K 打印机驱动
- CEVA DSP构成