跟我学SpringCloud(Finchley版)-21-Config-配置属性加解密
前文都是将配置明文存储在Git仓库中,但在实际项目中,敏感的配置属性(例如数据库账号、密码等),都应加密存储,从而提高安全性。
成都创新互联公司专注于企业营销型网站、网站重做改版、承留网站定制设计、自适应品牌网站建设、H5场景定制、成都做商城网站、集团公司官网建设、成都外贸网站建设、高端网站制作、响应式网页设计等建站业务,价格优惠性价比高,为承留等各大城市提供网站开发制作服务。
Config Server为配置内容的加密与解密提供了支持。
安装JCE
- Java 6 JCE地址: https://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-429243.html
- Java 7 JCE地址: http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html
- Java 8 JCE的地址: http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
加解密端点
- 加密:
curl $CONFIG_URL/encrypt -d 想要加密的内容
- 解密:
curl $CONFIG_URL/decrypt -d 想要解密的密文
对称加密
Config Server的bootstrap.yml中添加:
encrypt: key: foo # 设置对称密钥
密文存储
以yaml格式存储:
spring: datasource: username: dbuser password: '{cipher}851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3'
以properties格式存储:
spring.datasource.username=dbuser spring.datasource.password={cipher}851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3
测试
输入命令
curl http://localhost:8080/encrypt -d mysecret
返回
851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3
。说明mysecret
被加密了。输入命令
curl http://localhost:8080/decrypt -d 851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3
可返回
mysecret
,说明能够正常解密。
非对称加密
执行以下命令,并按照提示操作,即可创建一个Key Store。
keytool -genkeypair -alias mytestkey -keyalg RSA -dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US" -keypass changeme -keystore server.jks -storepass letmein
将生成的server.jks文件复制到项目的classpath下。
在bootstrap.yml中添加以下内容。
encrypt: keyStore: location: classpath:/server.jks # jks文件的路径 password: letmein # storepass alias: mytestkey # alias secret: changeme # keypass
这样,使用命令
curl http://localhost:8080/encrypt -d mysecret
尝试加密时 ,就会得到类似以下的结果。
AQB38UyNckYzW64rvsaIhy0OV4MUmS7krdHrw+VLUdqXJ4ZVdZL8/ouwSOAYM+6MSjKvzmkaU8Iv2cQ5MWhlZhCrm0f0d2ubc1MH96KBHTix9AroajeTiofPwPoBnWfBo9cC4PU1vD+rcvAvwvdR5q7rYbFc4yut4uJZRzpAXGgf680kAtb6tEtLx7c4/35PEaGXFWd2m8gn21vzWdvhbP6cdC9YlburL0Rq/0H1G+uEX99ZVIWJ0hVn4rplLWPMLUGA2ZVEyVRorIRX/2z5MU7cVPtJ6X1JZDpU4GVz8/3rD5BnbVFTGo6DfBrEzJn58Bzjl6aqo9ca/3j42RHOoQDOHXGqRX/843RbPdvMqTZd0rTOBHTUrVG9E15sCajiLkw=
相对于对称加密,非对称加密的安全性更高,但对称加密相对方便。读者可按照需求,自行选择加密方案。
注意点&坑
encrypt.*
务必存放在bootstrap.*
中,否则加解密特性无法生效!!
配套代码
对称加密
- GitHub:
- Gitee:
非对称加密
- GitHub:
- Gitee:
相关文章
- Config Server——配置内容的加密与解密
- 跟我学Spring Cloud(Finchley版)-19-配置中心-Spring Cloud Config
- 跟我学Spring Cloud(Finchley版)-20-Spring Cloud Config-Git仓库配置详解
- 跟我学Spring Cloud(Finchley版)-22-Spring Cloud Config-配置动态刷新
- 跟我学Spring Cloud(Finchley版)-06-服务注册与服务发现-Eureka深入
本文首发
http://www.itmuch.com/spring-cloud/finchley-21/
干货分享
分享标题:跟我学SpringCloud(Finchley版)-21-Config-配置属性加解密
网站路径:http://cdiso.cn/article/jgjjop.html