SpringCloud入门——7.3Config远程配置中心数据加密

代码信息

本篇文章涉及代码版本

本篇文章涉及应用

数据明文

使用明文保存一些敏感的数据&＃xff0c;很显然不是一个很好的方法&＃xff0c;尤其是使用配置中心后&＃xff0c;大量的配置被集中在一起&＃xff0c;这个时候对配置信息进行加密则变得至关重要。

实现数据加密

首先我们需要生成一个Keystore

这部分内容并非springcloud config加密的关键&＃xff0c;但是不算太麻烦就顺带说下。

这一段很多都和网络上内容类似&＃xff0c;假如有说的不明白的&＃xff0c;可以去网络上去再搜索下生成Keystore的方法。

1. 首先&＃xff0c;需要下载无线长度限制的jce。JDK 8对应的JCE地址为&＃xff1a;http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html
2. 然后将下载的内容解压至JDK所在的/jre/lib/security文件下。
3. 后续&＃xff0c;在JDK所在的bin文件夹下执行命令&＃xff1a;

keytool -genkeypair -alias config-key -keyalg RSA –keystore D:\config-key.jks -validity 1830 -keysize 1024 -storepass 123456 -keypass key123456 -dname "CN&＃61;daify,OU&＃61;dailearn,O&＃61;dailearn,L&＃61;武汉市,ST&＃61;湖北省,C&＃61;CN"


简单的说下参数的意思

此时会生成一个config-key.jks文件&＃xff0c;稍后备用

实现服务端

添加依赖

和之前配置中心服务端相同不需要进行修改。

<dependencies><dependency><groupId>org.springframework.cloudgroupId><artifactId>spring-cloud-config-serverartifactId>dependency>dependencies>


需要注意的时候&＃xff0c;后续我们把config-key.jks文件放入resources文件夹下&＃xff0c;为了防止此文件被maven过滤掉需要添加此配置

<build><finalName>config-keyfinalName><resources><resource><directory>src/main/resourcesdirectory><filtering>falsefiltering>resource>resources>build>


修改配置

bootstrap.yml的配置

encrypt:key: config-keykey-store:location: config-key.jkspassword: 123456alias: config-keysecret: key123456


bootstrap文件配置了config-key.jks文件的相关内容&＃xff0c;而实际中发现将此配置迁移至application中会发现启动报错的情况。

application.yml的配置

spring:application:name: base-config-service-encryptioncloud:config:server:git:uri: https://gitee.com/daifylearn/cloud-configsearch-paths: /config,/base-config-client,/base-config-client-encryptionencrypt:enabled: true
server:port: 8703eureka:client:service-url: defaultZone: http://localhost:8000/eureka/
logging:file: ${spring.application.name}.log

启动主类

&＃64;SpringBootApplication
&＃64;EnableEurekaClient
&＃64;EnableConfigServer
public class ConfigServiceApplication {public static void main(String[] args) {SpringApplication.run(ConfigServiceApplication.class, args);}
}


测试

此时为了测试项目加密和解密是否完成我们可以访问此应用的/encrypt/status接口

此时返回OK表示服务端配置完成了。

客户端

和之前的客户端内容相比&＃xff0c;并没有任何修改

客户端测试接口

&＃64;RestController
&＃64;RequestMapping("config")
public class ConfigController {&＃64;Value("${config.name}")private String profile;&＃64;Value("${config.encrypt}")private String encrypt;&＃64;GetMapping("/name")public String getProfile() {return this.profile;}&＃64;GetMapping("/encrypt")public String getEncrypt() {return this.encrypt;}
}


测试

配置中心服务端启动的时候我们可以看到如下内容

2019-07-14 02:19:14.999 INFO 25704 --- [ main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/encrypt],methods&＃61;[POST]}" onto public java.lang.String org.springframework.cloud.config.server.encryption.EncryptionController.encrypt(java.lang.String,org.springframework.http.MediaType)
2019-07-14 02:19:15.000 INFO 25704 --- [ main] s.w.s.m.m.a.RequestMappingHandlerMapping : Mapped "{[/decrypt],methods&＃61;[POST]}" onto public java.lang.String org.springframework.cloud.config.server.encryption.EncryptionController.decrypt(java.lang.String,org.springframework.http.MediaType)


现在服务端暴漏了几个加密和解密的接口

进行数据加密

现在我们想服务端的encrypt接口请求加密admin&＃xff0c;可以看到有如下返回

进行数据取回

我们将返回的内容复制后更新到配置中。

此时需要注意的

1. 提醒配置中心词数据为加密后的数据需要在前部添加{cipher}内容。
2. 使用properties类型的文件参数不需要其他处理&＃xff0c;但是使用yml的配置文件&＃xff0c;加密的数据除了{cipher}还需要使用单引号包裹’&＃39;

客户端获取数据

现在我们访问客户端的config/encrypt接口获取的数据正是加密前的数据

本篇文章并未贴出所有代码&＃xff0c;涉及的源码下载地址&＃xff1a;https://gitee.com/daifylearn/cloud-learn

ps.上述的所有项目都是可以成功运行的。但是在后期为了实现每个应用端口尽量不冲突会有些许调整&＃xff0c;而后续某次作死调整结构和名称可能会导致部分项目无法运行o(╯□╰)o&＃xff0c;如果发现请留言我进行修改。