Config Server――配置内容的加密与解密

我们在Git仓库中存储的都是明文，但在很多场景下，某些敏感的配置内容（例如数据库账号、密码），应当被加密存储以提高安全性。Config Server为配置内容的加密与解密提供了支持。

安装JCE

Config Server的加解密功能依赖Java Cryptography Extension（JCE）。

Java 8 JCE的地址是： http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html 。

下载JCE，解压后，按照README.txt的说明即可安装，其实就是将JDK/jre/lib/security目录中的两个jar文件替换为JCE中的jar文件。

其他Java版本的JCE的下载地址及安装在Spring Cloud 文档中有提及，详见： http://cloud.spring.io/spring-cloud-static/Camden.SR2/#_cloud_native_applications

加解密端点

Config Server为我们提供了加密与解密的端点，分别是 /encrypt 与 /decrypt 。我们可使用

curl $CONFIG_SERVER_URL/encrypt -d 想要加密的明文

来加密明文。使用

curl $CONFIG_SERVER_URL/decrypt -d 想要解密的密文

来解密密文。

编写代码

(1) 复制项目 microservice-config-server ，将ArtifactId修改为 microservice-config-server-encryption 。

(2) 修改application.yml，添加以下内容：

encrypt: key: foo # 设置对称密钥

这样，代码就编写完成了。

测试

(1) 输入命令

curl http://localhost:8080/encrypt -d mysecret

返回 851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3 。说明 mysecret 被加密了。

(2) 输入命令

curl http://localhost:8080/decrypt -d 851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3

可返回 mysecret ，说明能够正常解密。

存储加密的内容

加密后的内容，使用 {cipher}密文 的形式存储。

测试：

(1) 准备一个配置文件，命名为encryption.yml

spring: datasource: username: dbuser password: '{cipher}851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3'

并将其push到Git仓库 https://git.oschina.net/itmuch/spring-cloud-config-repo 。此处需注意spring.datasource.password上的单引号不能少。如果使用的是properties则无需使用单引号，例如：

spring.datasource.username=dbuser spring.datasource.password={cipher}851a6effab6619f43157a714061f4602be0131b73b56b0451a7e268c880daea3

这是由yaml与properties的解析机制所决定的。

(2) 使用 http://localhost:8080/encryption-default.yml 可获得以下结果：

profile: default spring: datasource: password: mysecret username: dbuser

说明Config Server能够自动地为我们解密配置内容。

一些场景下，我们可能想要让Config Server直接返回密文本身，而并非解密后的内容，这时可设置 spring.cloud.config.server.encrypt.enabled=false 。这时可由Config Client自行解密。

非对称加密

上文中，我们讨论的加密方式是对称加密，Spring Cloud同样支持非对称加密。

(1) 复制项目 microservice-config-server ，将ArtifactId修改为 microservice-config-server-encryption-rsa 。

(2) 创建一个Key Store，并将生成的文件复制到项目的classpath下。

keytool -genkeypair -alias mytestkey -keyalg RSA -dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US" -keypass changeme -keystore server.jks -storepass letmein

(3) 在application.yml中添加以下内容：

encrypt: keyStore: location: classpath:/server.jks # jks文件的路径 password: letmein # storepass alias: mytestkey # alias secret: changeme # keypass

这样我们使用命令 curl http://localhost:8080/encrypt -d mysecret ，将会得到以下结果：

AQB38UyNckYzW64rvsaIhy0OV4MUmS7krdHrw+VLUdqXJ4ZVdZL8/ouwSOAYM+6MSjKvzmkaU8Iv2cQ5 MWhlZhCrm0f0d2ubc1MH96KBHTix9AroajeTiofPwPoBnWfBo9cC4PU1vD+rcvAvwvdR5q7rYbFc4yut 4uJZRzpAXGgf680kAtb6tEtLx7c4/35PEaGXFWd2m8gn21vzWdvhbP6cdC9YlburL0Rq/0H1G+uEX99Z VIWJ0hVn4rplLWPMLUGA2ZVEyVRorIRX/2z5MU7cVPtJ6X1JZDpU4GVz8/3rD5BnbVFTGo6DfBrEzJn5 8Bzjl6aqo9ca/3j42RHOoQDOHXGqRX/843RbPdvMqTZd0rTOBHTUrVG9E15sCajiLkw=

相对于对称加密，非对称加密的安全性更高，但对称加密相对方便。读者可按照需求自行选择。