使用對稱加密來加密Spring Cloud Config配置文件

補充

使用Spring Cloud Config加密功能須要下載JCE擴展，用於生成無限長度的密文。連接：http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html 下載完成以後解壓，把獲得到兩個Jar包複製到$JAVA_HOME\jre\lib\security目錄下。

簡介

在真實項目環境下，咱們不會在配置文件中明文存儲密碼等機密性文本，以防被竊。Spring Cloud Config提供了加密方法，以使明文文本加密成密文存儲在配置文件中。Spring Cloud Config提供了兩種加密解密方式，一種是對稱加密，一種是非對稱加密。這篇文章將先展現如何使用對稱加密。

對稱加密簡介

對稱加密即通訊雙方用同一密鑰(key)對文本進行加密和解密。它有兩種加密方式：

• Stream Cipher。對文本進行逐字節或逐字的進行加密。
• Block Cipher。取必定長度(block size)的字節加密成一個單元，長度不夠或者不成block size倍數的用佔位符填充。

對稱加密是較爲簡單的一種方式，只要雙方都擁有同一key就能夠完成文本的加密和解密。不過對稱加密的缺點是沒法認證來源，即若是Alice和Bob正在通訊，Alice使用key把加密後的文本傳遞給Bob，可是中途被Eve截取到了密文，而後Eve把密文轉發給Bob，讓Bob誤覺得Eve就是Alice，而後就會形成數據泄露。

項目源碼

Gitee碼雲

配置configserver

首先咱們要先設置一個加密用到的Key，在咱們的configserver項目中的bootstrap.yml配置文件中加入以下配置項：

encrypt:
  key: Thisismysecretkey

測試

咱們用這個key加密咱們的web-client的一個測試項。Spring Cloud Config提供了加密和解密的終端路徑，/encrypt和/decrypt。啓動configserver，而後咱們用/encrypt這個終端加密咱們的測試文本：

curl localhost:8888/encrypt -d 12345678

返回的結果是（結果每次都會不同）：

94c1027141add9844ec47f0be13caebb6b38ed1dcf99811b1a5cd2b874c64407

而後在咱們的remote config倉庫中，修改web-client.yml配置，新增一條配置：

test:
  password: '{cipher}94c1027141add9844ec47f0be13caebb6b38ed1dcf99811b1a5cd2b874c64407'

這裏的引號是必須的，而後{cipher}指明瞭這條數據項爲密文。而後咱們能夠驗證一下解密：

curl localhost:8888/decrypt -d 94c1027141add9844ec47f0be13caebb6b38ed1dcf99811b1a5cd2b874c64407

正常狀況下會獲得咱們的12345678字符。而後咱們經過url訪問web-client.yml配置文件，會獲得以下結果：

{
    "name": "web-client",
    "profiles": [
        "default"
    ],
    "label": null,
    "version": "6b73c56449acee907fcf37e50892a3afddbf6335",
    "state": null,
    "propertySources": [
        {
            "name": "https://gitee.com/zxuqian/spring-cloud-config-remote/web-client.yml",
            "source": {
                "message": "此條消息來自於遠程配置倉庫",
                "management.endpoints.web.exposure.include": "*",
                "test.password": "12345678"
            }
        }
    ]
}

會看到解密後的test.password爲12345678。

歡迎訪問個人博客：張旭乾的博客