如果遠程屬性源包含加密內容（以{cipher}開頭的值），則在通過HTTP發送到客戶端之前，它們將被解密。這種設置的主要優點是，當它們“靜止”時，屬性值不必是純文本（例如在git倉庫中）。如果值無法解密，則從屬性源中刪除該值，並添加具有相同鍵的附加屬性，但以“無效”作為前綴。和“不適用”的值（通常為“<n / a>”）。這主要是為了防止密碼被用作密碼並意外泄漏。

如果要為config客戶端應用程序設置遠程配置存儲庫，可能會包含一個application.yml，例如：

application.yml
spring:
  datasource:
    username: dbuser
    password: ‘{cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ‘

.properties文件中的加密值不能用引號括起來，否則不會解密該值：

application.properties
spring.datasource.username: dbuser
spring.datasource.password: {cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ
 

您可以安全地將此純文本推送到共享git存儲庫，並且保密密碼。

服務器還暴露了/encrypt和/decrypt端點（假設這些端點將被保護，並且只能由授權代理訪問）。如果您正在編輯遠程配置文件，可以使用Config Server通過POST到/encrypt端點來加密值，例如

$ curl localhost:8888/encrypt -d mysecret
682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda

逆向操作也可通過/decrypt獲得（如果服務器配置了對稱密鑰或全密鑰對）：

註意 如果要加密的值具有需要進行URL編碼的字符，則應使用--data-urlencode選項curl來確保它們已正確編碼。

$ curl localhost:8888/decrypt -d 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
mysecret

小費 如果您使用curl進行測試，則使用--data-urlencode（而不是-d）或設置顯式Content-Type: text/plain，以確保在有特殊字符時正確地對數據進行編碼（‘+‘特別是棘手）。

將加密的值添加到{cipher}前綴，然後再將其放入YAML或屬性文件中，然後再提交並將其推送到遠程可能不安全的存儲區。

/encrypt和/decrypt端點也都接受/*/{name}/{profiles}形式的路徑，當客戶端調用到主環境資源時，可以用於每個應用程序（名稱）和配置文件控制密碼。

註意 為了以這種細微的方式控制密碼，您還必須提供一種TextEncryptorLocator類型的@Bean，可以為每個名稱和配置文件創建不同的加密器。默認提供的不會這樣做（所有加密使用相同的密鑰）。

spring命令行客戶端（安裝了Spring Cloud CLI擴展）也可以用於加密和解密，例如

$ spring encrypt mysecret --key foo
682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
$ spring decrypt --key foo 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
mysecret

要在文件中使用密鑰（例如用於加密的RSA公鑰），使用“@”鍵入鍵值，並提供文件路徑，例如

$ spring encrypt mysecret --key @${HOME}/.ssh/id_rsa.pub
AQAjPgt3eFZQXwt8tsHAVv/QHiY5sI2dRcR+...

關鍵參數是強制性的（盡管有一個--前綴）。

Spring Cloud Config 加密和解密