Spring Cloud Config 加密和解密

重要 先決條件：要使用加密和解密功能，您須要在JVM中安裝全面的JCE（默認狀況下不存在）。您能夠從Oracle下載「Java加密擴展（JCE）無限強度管理策略文件」，並按照安裝說明（實際上將JRE lib / security目錄中的2個策略文件替換爲您下載的文件）。

若是遠程屬性源包含加密內容（以{cipher}開頭的值），則在經過HTTP發送到客戶端以前，它們將被解密。這種設置的主要優勢是，當它們「靜止」時，屬性值沒必要是純文本（例如在git倉庫中）。若是值沒法解密，則從屬性源中刪除該值，並添加具備相同鍵的附加屬性，但以「無效」做爲前綴。和「不適用」的值（一般爲「<n / a>」）。這主要是爲了防止密碼被用做密碼並意外泄漏。

若是要爲config客戶端應用程序設置遠程配置存儲庫，可能會包含一個application.yml，例如：

application.yml

spring:
  datasource:
    username: dbuser
    password: '{cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ'

properties文件中的加密值不能用引號括起來，不然不會解密該值：

application.properties

spring.datasource.username: dbuser
spring.datasource.password: {cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ

您能夠安全地將此純文本推送到共享git存儲庫，而且保密密碼。

服務器還暴露了/encrypt和/decrypt端點（假設這些端點將被保護，而且只能由受權代理訪問）。若是您正在編輯遠程配置文件，可使用Config Server經過POST到/encrypt端點來加密值，例如

$ curl localhost:8888/encrypt -d mysecret
682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda

逆向操做也可經過/decrypt得到（若是服務器配置了對稱密鑰或全密鑰對）：

注意 若是要加密的值具備須要進行URL編碼的字符，則應使用--data-urlencode選項curl來確保它們已正確編碼。

$ curl localhost:8888/decrypt -d 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
mysecret

 若是您使用curl進行測試，則使用--data-urlencode（而不是-d）或設置顯式Content-Type: text/plain，以確保在有特殊字符時正確地對數據進行編碼（'+'特別是棘手）。

將加密的值添加到{cipher}前綴，而後再將其放入YAML或屬性文件中，而後再提交併將其推送到遠程可能不安全的存儲區。

/encrypt和/decrypt端點也都接受/*/{name}/{profiles}形式的路徑，當客戶端調用到主環境資源時，能夠用於每一個應用程序（名稱）和配置文件控制密碼。

注意 爲了以這種細微的方式控制密碼，您還必須提供一種TextEncryptorLocator類型的@Bean，能夠爲每一個名稱和配置文件建立不一樣的加密器。默認提供的不會這樣作（全部加密使用相同的密鑰）。

spring命令行客戶端（安裝了Spring Cloud CLI擴展）也能夠用於加密和解密，例如

$ spring encrypt mysecret --key foo
682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
$ spring decrypt --key foo 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
mysecret

要在文件中使用密鑰（例如用於加密的RSA公鑰），使用「@」鍵入鍵值，並提供文件路徑，例如

$ spring encrypt mysecret --key @${HOME}/.ssh/id_rsa.pub
AQAjPgt3eFZQXwt8tsHAVv/QHiY5sI2dRcR+...

關鍵參數是強制性的（儘管有一個--前綴）。源碼來源