2. 程式人生 > >Spring Cloud Config - RSA簡介以及使用RSA加密配置文件

Spring Cloud Config - RSA簡介以及使用RSA加密配置文件

阿新 發佈:2018-05-11
exp test bee 存在 publickey default label 單位 rom

簡介

RSA非對稱加密有著非常強大的安全性,HTTPS的SSL加密就是使用這種方法進行HTTPS請求加密傳輸的。因為RSA算法會涉及Private Key和Public Key分別用來加密和解密,所以稱為非對稱加密。Private Key和Public Key有互操作性,即用private key加密的可以用public key解密,用public key加密的可以用private key解密。傳統的單向認證則只用public key進行加密,有private key的一方才可進行解密。例如,一個web服務器會有一對private key和public key。瀏覽器客戶端保存著服務器的public key。當客戶端需要向服務器發送數據時,就用服務器的public key進行加密,然後服務器收到數據時,再用private key進行解密。客戶端驗證服務器是否為真實的服務器時,會根據服務器提供的public key和自己本地保存的public key作比較,一致的話才能驗證服務器的真實性。

在我們的config server中,一些對加密要求比較高的可以采用RSA算法進行數據的加密和解密。

項目源碼

Gitee碼雲

生成測試Keystore

我們需要使用jdk自帶的keytool工具生成一個keystore,裏邊保存了private key的信息,使用如下命令行:

keytool -genkeypair -alias config-server-key -keyalg RSA -dname "CN=Config Server,OU=Xuqian,O=My Own Company,L=Beijing,S=Beijing,C=CN" -keypass changeit -keystore server.jks -storepass changeit

-genkeypair 參數即產生一對public key和private key。
-alias 指定key的別名,用於區分同一keystore中不同的key。
-keyalg 指定生成key的算法,這裏使用默認的RSA
-dname 指定common name,即CN,用以驗證key的身份。其中各項皆為自定義參數,OU為單位名稱,O為組織名稱,L為城市,S為省份/州,C為國家
-keypass 為key的密碼
-keystore 為keystore的文件名
-storepass 訪問keystore的密碼

上述工具將產生的 privte key 保存在了名為server.jks的 key store 中。到目前為止,我們只產生了 private key,Spring Cloud Config Server 會根據我們提供的 key 的信息,每次會用程序生成一個 public key,參考如下源代碼org.springframework.security.rsa.crypto.KeyStoreKeyFactory

public KeyPair getKeyPair(String alias, char[] password) {
    try {
        synchronized (lock) {
            if (store == null) {
                synchronized (lock) {
                    // 根據配置提供的 keystore 文件地址和密碼獲取 keystore 的實例對象
                    store = KeyStore.getInstance("jks");
                    store.load(resource.getInputStream(), this.password);
                }
            }
        }
        // 根據配置提供的 alias 和 password 從 keystore 中取得 private key
        RSAPrivateCrtKey key = (RSAPrivateCrtKey) store.getKey(alias, password);
        // 定義 Public Key 生成規則
        RSAPublicKeySpec spec = new RSAPublicKeySpec(key.getModulus(),
                key.getPublicExponent());
        // 生成 Public Key
        PublicKey publicKey = KeyFactory.getInstance("RSA").generatePublic(spec);
        return new KeyPair(publicKey, key);
    }
    catch (Exception e) {
        throw new IllegalStateException("Cannot load keys from store: " + resource, e);
    }
}

這裏使用了 Java Security API 來對key進行操作。參見註釋。然後上邊的信息通過 configserver 中的 bootstrap.xml 配置文件提供:

encrypt:
  #key: Thisismysecretkey
  key-store:
    location: file://${user.home}/development/keys/server.jks
    password: changeit
    alias: config-server-key
    secret: changeit

因為我們不能同時使用對稱加密和非對稱加密,所以我們把 encrypt.key 配置註釋掉,然後指定非對稱加密的參數:

  • location: Keystore 的文件路徑
  • password: keystore 的密碼
  • alias: key 的別名
  • secret: key的密碼

測試

我們繼續使用 encrypt API加密一項測試數據:

curl http://localhost:8888/encrypt -d 23456789

返回加密後的字符:

AQAPWOUOh4WVexGgVv+bgtKc5E0d5Aba8VUKnzEXh27HyKSAbW+wyzDwZTbk5QYfXpoCAs413rdeNIdR2ez44nkjT5V+438/VQExySzjZPhP0xYXi9YIaJqA3+Ji+IWK8hrGtJ4dzxIkmItiimCOirLdZzZGDm/yklMUVh7lARSNuMxXGKlpdBPKYWdqHm57ob6Sb0ivm4H4mL1n4d3QUCuE7hh2F4Aw4oln7XueyMkRPTtPy8OpnBEEZhRfmaL/auVZquLU5jjMNJk9JiWOy+DSTscViY/MZ+dypv6F4AfDdVvog89sNmPzcUT+zmB8jXHdjLoKy+63RG326WffY9OPuImW6/kCWZHV6Vws55hHqRy713W6yDBlrQ/gYC3Wils=

然後測試解密

curl http://localhost:8888/decrypt -d AQAPWOUOh4+bgtKc5E0d5Aba8VUKnzEXh27HyKSAbW+wyzDwZTbk5QYfXpoCAs413rdeNIdR2ez44nkjT5V+438/VQExySzjZPhP0xYXi9YIaJqA3+Ji+IWK8hrGtJ4dzxIkmItiimCOirLdZzZGDm/yklMUVh7lARSNuMxXGKlpdBPKYWdqHm57ob6Sb0ivm4H4mL1n4d3QUCuE7hh2F4Aw4oln7XueyMkRPTtPy8OpnBEEZhRfmaL/auVZquLU5jjMNJk9JiWOy+DSTscViY/MZ+dypv6F4AfDdVvog89sNmPzcUT+zmB8jXHdjLoKy+63RG326WffY9OPuImW6/kCWZHV6Vws55hHqRy713W6yDBlrQ/gYC3Wils=

會返回

23456789

我們還可以修改web-client.yml來驗證:

#test:
  #password: ‘{cipher}94c1027141add9844ec47f0be13caebb6b38ed1dcf99811b1a5cd2b874c64407‘
user:
  password: ‘{cipher}AQAPWOUOh4WVexGgVv+bgtKc5E0d5Aba8VUKnzEXh27HyKSAbW+wyzDwZTbk5QYfXpoCAs413rdeNIdR2ez44nkjT5V+438/VQExySzjZPhP0xYXi9YIaJqA3+Ji+IWK8hrGtJ4dzxIkmItiimCOirLdZzZGDm/yklMUVh7lARSNuMxXGKlpdBPKYWdqHm57ob6Sb0ivm4H4mL1n4d3QUCuE7hh2F4Aw4oln7XueyMkRPTtPy8OpnBEEZhRfmaL/auVZquLU5jjMNJk9JiWOy+DSTscViY/MZ+dypv6F4AfDdVvog89sNmPzcUT+zmB8jXHdjLoKy+63RG326WffY9OPuImW6/kCWZHV6Vws55hHqRy713W6yDBlrQ/gYC3Wils=‘

註釋掉 test.password,新增一個 user.password 使用加密後的配置值。然後提交的gitee倉庫,通過 url 訪問此配置文件:

http://localhost:8888/web-client/default

得到如下結果:

{
    "name": "web-client",
    "profiles": [
        "default"
    ],
    "label": null,
    "version": "3044a5345fb86d09a043ca7404b9e57c8c13c512",
    "state": null,
    "propertySources": [
        {
            "name": "https://gitee.com/zxuqian/spring-cloud-config-remote/web-client.yml",
            "source": {
                "message": "此條消息來自於遠程配置倉庫",
                "management.endpoints.web.exposure.include": "*",
                "user.password": "23456789"
            }
        }
    ]
}

Spring Cloud Config - RSA簡介以及使用RSA加密配置文件

相關推薦

Spring Cloud Config - RSA簡介以及使用RSA加密配置

exp test bee 存在 publickey default label 單位 rom 簡介 RSA非對稱加密有著非常強大的安全性,HTTPS的SSL加密就是使用這種方法進行HTTPS請求加密傳輸的。因為RSA算法會涉及Private Key和Public Key分別

Spring Cloud Config 使用SVN方式的相關配置

oca pen cal info 技術分享 repo def com hot 文件的存儲方式: 1、使用svn 當做配置中心 config server的配置方式: 引入svn的包 <dependency> <groupId>

Spring Cloud Zuul中使用Swagger彙總API介面

有很多讀者問過這樣的一個問題:雖然使用Swagger可以為Spring MVC編寫的介面生成了A

Spring筆記02(3種加載配置的方式)

con 創建對象 face ati prototype property str als cati 1.不使用Spring的實例: 01.Animal接口對應的代碼: package cn.pb.dao; /** * 動物接口 */ public interface

shell變量,管道符,作業控制,shell變量,以及變量配置

shell管道符|:管道符是將前面的文件的輸出的內容傳遞給後面的命令[root@localhost ~]# ls |wc -l21查看當前目錄下有多少文件[root@localhost ~]# cat 1.txt |wc -l1查看1.txt的行數以上的兩個例子就是管道符的簡單用法。 管道符常營命令 cut:

02.基於IDEA+Spring+Maven搭建測試項目--Maven的配置settings.xml

oca true ror 匹配 content com 一個 1.0 遠程 1 <?xml version="1.0" encoding="UTF-8"?> 2 <settings xmlns="http://maven.apache.org/SET

從源碼來理解slf4j的綁定,以及logback對配置的加載

conf efault 會有 noclass bin roo ogg file groovy https://www.cnblogs.com/youzhibing/p/6849843.html 編譯期間,完成slf4j的綁定已經logback配置文件的加載。slf4

使用對稱加密加密Spring Cloud Config配置

localhost host 配置文件 但是 prop pri 加密解密 PE pre 簡介 在真實項目環境下,我們不會在配置文件中明文存儲密碼等機密性文本,以防被竊。Spring Cloud Config提供了加密方法,以使明文文本加密成密文存儲在配置文件中。Spring

0701-spring cloud config-簡介Config Server開發、Config Client開發

調整 ons UC 分布式系統 war string host 負責 sta 一、概述 參看地址:   https://cloud.spring.io/spring-cloud-static/Edgware.SR3/single/spring-cloud.html#_s

Spring Cloud Config 加密和解密

spring Spring Cloud Config 先決條件:要使用加密和解密功能,您需要在JVM中安裝全面的JCE(默認情況下不存在)。您可以從Oracle下載“Java加密擴展(JCE)無限強度管理策略文件”,並按照安裝說明(實際上將JRE lib / security目錄中的2個策略文件替

關於spring cloud config加密EncryptionTooWeakException異常說明

       今天在使用spring cloud config加密進行加密的時候,沒有進行salt值的設定就會出現EncryptionTooWeakException異常,其實可以通過原始碼EncryptionAutoConfiguration類中的靜態內部類Encry

Spring Cloud Config 配置加密

JCE加密 Java Cryptography Extension,要改jre,先用jasypt吧。 1、在git上建立一個工程 https://gitee.com/frankawp/vishnu-config專門放配置檔案的 2、加一個檔案application-dev.yml 內容

Spring Cloud Config官方加密和解密

原文連結 5.2 健康指標 Config Server 附帶一個健康指標(Health Indicator),用於檢查配置的 EnvironmentRepository 是否正常工作。預設情況下,它會為 EnvironmentRepository請求一個名為 app 的應用程式,這個預設的pr

Spring Cloud系列教程 | 第十篇:Spring Cloud Config Server和Spring Cloud Bus以及Kafka和資料庫動態重新整理配置

推薦 Spring Cloud 視訊: Spring Cloud Config Server和Spring Cloud Bus以及Kafka和資料庫動態重新整理配置     Spring cloud config server如果不結合Spring cloud

springcloud系列—Config—第6章-3: Spring Cloud Config 高可用配置、安全與加密解密

資料參考:《Spring Cloud 微服務實戰》 目錄 安全保護 加密解密 使用前提 相關端點 配置金鑰 非對稱加密 高可用配置 安全保護 由於配置中心儲存的內容比較敏感,做一定的安全處理是必要的。為配置中心實現安全保護的方式有很多,比如物理網路限制,O

Spring cloud config 配置檔案加密

前言 我們會使用git來儲存我們專案的配置檔案,但是檔案中總有一些敏感資料,對於這些敏感資料我們通常需要給它加密,加密通常有兩種加密方式,一種是對稱加密,一種是非對稱加密,對稱加密簡單方便,但是安全性沒有非對稱加密高,非對稱加密需要生成證書,安全性比較高。但是

Spring Cloud Config 入門

spring cloud config1. 簡介Spring Cloud Config 是用來為分布式系統中為微服務應用提供集中化的外部配置支持,主要分為Spring Cloud Config Server(服務器端)和Spring Cloud Config Client(客戶端)。2. Spri

JavaScript 版本的 RSA加密

nbsp javascrip big arr http pub int 地址 oct <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4

Spring cloud config的使用技巧

cnblogs name java class div 如果 隊列 指定 con Spring cloud 的config server,可以很方便管理各個應用的配置。但我們在每個應用中,可能有大量重復的配置,比如都有相同的數據庫、消息隊列、redis等。如果放到每個應用的

跟我學習Spring Cloud Config - 快速開始

json con 遠程 cloud sin curl ces 資源 data- 啟動服務器: $ cd spring-cloud-config-server $ ../mvnw spring-boot:run 該服務器是一個Spring Boot應用程序,所以