14.5.1 在 Git 中加密属性
除了使用未加密的值外,Config Server 还支持在 Git 存储的配置文件中使用加密值。在 Git 存储中使用加密值的关键,实际上是一个密钥,一个用于加密的密钥。
要启用对属性加密,需要使用加密密钥。在将值传到客户端之前,使用密钥对加密值进行解密。Config Server 支持对称加密和非对称加密。设置对称加密的密钥,可在 Config Server 自身的配置中设置 encrypt.key 属性值。这个值可以用作加密和解密:
encrypt:
key: s3cr3t
在启动配置(例如 bootstrap.properties 或 bootstrap.yml 中)中设置此属性非常重要。这样使 Config Server 对外提供服务之前,可以通过自动配置加载此属性。
为了提高安全性,您可以选择使用非对称加密密钥,如 RSA 密钥对或对 keystore 的引用。要创建这样的密钥对,可以使用 keytool 命令行工具:
$ keytool -genkeypair -alias tacokey -keyalg RSA \
-dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US" \
-keypass s3cr3t -keystore keystore.jks -storepass l3tm31n
生成的 keystore 将写入名为 keystore.jks 的文件中,可以选择把 keystore 文件保存在文件系统上,或将其放置在应用程序本身中。无论哪种情况,您都需要在 Config Server 的 bootstrap.yml 文件中,指定 keystore 文件的位置以及授权信息。
注意:要在 Config Server 中使用加密功能,必须安装
Java Cryptography Extensions Unlimited Strength策略文件。详细信息请参阅 Oracle 的 Java SE 页:http://www.oracle.com/technetwork/java/javase/downloads/index.html。
假设您选择将 keystore 打包到应用程序中,并放在类路径的根目录。然后就可以通过配置 Config Server 的以下属性使用 keystore:
encrypt:
key-store:
alias: tacokey
location: classpath:/keystore.jks
password: l3tm31n
secret: s3cr3t
有了密钥或 keystore,您现在需要一些加密的数据。Config Server 提供了 /encrypt 加密接口。所要做的就是通过 POST 请求,把一些要加密的数据发送到 /encrypt 接口。例如,假设您要加密 MongoDB 数据库的密码。使用 curl 可以这样加密这个密码:
$ curl localhost:8888/encrypt -d "s3cr3tP455w0rd"
93912a660a7f3c04e811b5df9a3cf6e1f63850cdcd4aa092cf5a3f7e1662fab7
提交 POST 请求后,您将收到一个加密值作为响应。剩下的就是复制该值,并将其粘贴到在 Git 存储库中保存的配置文件中。
要设置 MongoDB 密码,请在 application.yml 中添加 spring.data.mongodb.password 属性:
spring:
data:
mongodb:
password: '{cipher}93912a660a7f3c04e811b5df9a3cf6e1f63850...'
请注意,给 spring.data.mongodb.password 设置的值是用单引号(')引起来的,前缀为 {cipher}。这会让 Config Server 识别到,这是一个加密值,而不是普通的未加密值。
对 application.yml 的修改提交并推送到到 Git 存储库以后,Config Server 就准备好了提供加密属性服务。要查看它的运行情况,可使用 curl 模拟客户端调用:
$ curl localhost:8888/application/default | jq
{
"name": "app",
"profiles": [
"prof"
],
"label": null,
"version": "464adfd43485182e4e0af08c2aaaa64d2f78c4cf",
"state": null,
"propertySources": [
{
"name": "http://localhost:10080/tacocloud/tacocloudconfig/application.yml",
"source": {
"spring.data.mongodb.password": "s3cr3tP455w0rd"
}
}
]
}
如你所见,属性 spring.data.mongodb.password 的值是解密的形式。默认情况下,Config Server 提供的任何加密值,在后端 Git 存储库中都是加密的;它们在被使用之前会被解密。这意味着使用 Config Server 的客户端应用程序,不需要任何特殊的代码或配置来接收在 Git 中加密的属性。
如果您希望 Config Server 提供仍然加密的属性,您可以设置 spring.cloud.config.server.encrypt.enabled 属性为 false:
spring:
cloud:
config:
server:
git:
uri: http://localhost:10080/tacocloud/tacocloud-config
encrypt:
enabled: false
这将导致 Config Server 提供的所有属性值,包括加密属性值,与 Git 存储库中设置的值完全相同。再次使用 curl 命令模拟客户端调用,以显示禁用解密后的效果:
$ curl localhost:8888/application/default | jq
{
...
"propertySources": [
{
"name": "http://localhost:10080/tacocloud/tacocloudconfig/application.yml",
"source": {
"spring.data.mongodb.password": "{cipher}AQA4JeVhf2cRXW..."
}
}
]
}
当然,如果客户端接收到加密后的属性值,那么客户端现在就负责自行解密了。
尽管可以将加密的属性存储在 Git 中,再由 Config Server 提供服务。但我们已经看到加密并不是 Git 原生的能力,这需要您做一些工作,以便使用任何写入 Git 存储库的数据。而且,除非您的应用程序自行解密,否则使用 Config Server API 能够让任何人获取解密后的信息。让我们看看另一种配置 Config Server 的选择,它只为那些有权看到他们的使用方提供服务。