java B2B2C電子商務平臺分析之七-Spring Cloud Config
在我們瞭解spring cloud config之前,我可以想想一個配置中心提供的核心功能應該有什麼,願意瞭解原始碼的朋友直接求求交流分享技術:二一四七七七五六三三
提供服務端和客戶端支援
集中管理各環境的配置檔案
配置檔案修改之後,可以快速的生效
可以進行版本管理
支援大的併發查詢
支援各種語言
Spring Cloud Config可以完美的支援以上所有的需求。
要使用加密和解密功能,您需要在JVM中安裝全面的JCE(預設情況下不存在)。您可以從Oracle下載“Java加密擴充套件(JCE)無限強度管理策略檔案”,並按照安裝說明(實際上將JRE lib / security目錄中的2個策略檔案替換為您下載的檔案)。
如果遠端屬性源包含加密內容(以{cipher}開頭的值),則在通過HTTP傳送到客戶端之前,它們將被解密。這種設定的主要優點是,當它們“靜止”時,屬性值不必是純文字(例如在git倉庫中)。如果值無法解密,則從屬性源中刪除該值,並新增具有相同鍵的附加屬性,但以“無效”作為字首。和“不適用”的值(通常為“<n / a>”)。這主要是為了防止密碼被用作密碼並意外洩漏。
如果要為config客戶端應用程式設定遠端配置儲存庫,可能會包含一個application.yml,例如:application.yml
spring: datasource: username: dbuser password: '{cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ'
.properties檔案中的加密值不能用引號括起來,否則不會解密該值:application.properties
spring.datasource.username: dbuser
spring.datasource.password: {cipher}FKSAJDFGYOS8F7GLHAKERGFHLSAJ您可以安全地將此純文字推送到共享git儲存庫,並且保密密碼。
伺服器還暴露了/encrypt和/decrypt端點(假設這些端點將被保護,並且只能由授權代理訪問)。如果您正在編輯遠端配置檔案,可以使用Config Server通過POST到/encrypt端點來加密值,例如
$ curl localhost:8888/encrypt -d mysecret 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
逆向操作也可通過/decrypt獲得(如果伺服器配置了對稱金鑰或全金鑰對):
注意 如果要加密的值具有需要進行URL編碼的字元,則應使用--data-urlencode選項curl來確保它們已正確編碼。
$ curl localhost:8888/decrypt -d 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
mysecret如果您使用curl進行測試,則使用--data-urlencode(而不是-d)或設定顯式Content-Type: text/plain,以確保在有特殊字元時正確地對資料進行編碼('+'特別是棘手)。
將加密的值新增到{cipher}字首,然後再將其放入YAML或屬性檔案中,然後再提交併將其推送到遠端可能不安全的儲存區。
/encrypt和/decrypt端點也都接受/*/{name}/{profiles}形式的路徑,當客戶端呼叫到主環境資源時,可以用於每個應用程式(名稱)和配置檔案控制密碼。
注意 為了以這種細微的方式控制密碼,您還必須提供一種TextEncryptorLocator型別的@Bean,可以為每個名稱和配置檔案建立不同的加密器。預設提供的不會這樣做(所有加密使用相同的金鑰)。
spring命令列客戶端(安裝了Spring Cloud CLI擴充套件)也可以用於加密和解密,例如
$ spring encrypt mysecret --key foo
682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
$ spring decrypt --key foo 682bc583f4641835fa2db009355293665d2647dade3375c0ee201de2a49f7bda
mysecret要在檔案中使用金鑰(例如用於加密的RSA公鑰),使用“@”鍵入鍵值,並提供檔案路徑,例如
$ spring encrypt mysecret --key @${HOME}/.ssh/id_rsa.pub
AQAjPgt3eFZQXwt8tsHAVv/QHiY5sI2dRcR+...關鍵引數是強制性的(儘管有一個--字首)。
整體程式碼結構如下:
