

使用Vault保护SpringBoot配置文件中的敏感数据

Spring全家桶实战案例

2024-03-14

导读：SpringBoot与Vault的完美结合：实现配置文件中敏感信息的安全管理

环境：SpringBoot2.7.16 + Vault1.15.5(Vault服务版本)

1. 简介

SpringBoot作为流行的Java微服务框架，其配置文件可能包含数据库密码、API密钥等敏感数据。为了保障这些信息的安全，Vault作为一个开源的秘密管理工具，成为了众多开发者的选择。本文将深入探讨如何整合SpringBoot与Vault，实现对配置文件中敏感信息的有效保护，从而确保微服务应用的安全性。

Spring Vault 为访问、存储和撤销秘密提供客户端支持。有了 HashiCorp 的 Vault，你就有了一个集中的地方来管理所有环境中应用程序的外部秘密数据。Vault 可以管理应用程序数据、远程应用程序/资源的用户名/密码等静态和动态秘密，并为 MySQL、PostgreSQL、Apache Cassandra、Consul、AWS 等外部服务提供凭证。

2. Vault服务安装及配置

本文将通过Docker安装Vault服务。执行如下命令即可

docker run -d --name vault --cap-add=IPC_LOCK \  -e 'VAULT_LOCAL_CONFIG={"storage": {"file": {"path": "/vault/file"}}, "listener": [{"tcp": { "address": "0.0.0.0:8200", "tls_disable": true}}], "default_lease_ttl": "168h", "max_lease_ttl": "720h", "ui": true}' \  -p 8200:8200 hashicorp/vault server

上面以服务的模式运行vault。

--cap-add=IPC_LOCK：这是 Vault 锁定内存所必需的，这会阻止内存被交换到磁盘。强烈推荐这个。在非开发环境中，如果不想使用该功能，则必须添加"disable_mlock: true"配置信息。

这将运行一个禁用 TLS 的 Vault 服务器，file存储后端位于路径/vault/file，默认秘密租约期限为一周，最长为 30 天。file不建议在生产使用中禁用 TLS 和使用存储后端。

3. Vault基本操作

通过http://localhost:8200/ui/ 访问Vault管理页面

这里输入你初次进入页面时会给你生成一份token文件，文件中包含了token信息。如下：

进入管理页面后点击Secrets Engines菜单，在该菜单中进行信息的配置

创建新的密钥管理

选择KV

输入路径Path，这个路径就是以后你要访问的路径，然后点击Enable Engine。

最后添加你需要的配置信息

以上就是基本的配置。

在上面的加密引擎选择中有个，Transit这个类型可以同来对数据进行加解密也是非常的实用。

4. Vault加解密数据

接下来我们通过Transit进行数据的加解密。

private VaultEndpoint vaultEndpoint ;private VaultTemplate vaultTemplate  ;
@BeforeEachpublic void init() {  vaultEndpoint = new VaultEndpoint() ;  vaultEndpoint.setHost("localhost") ;  vaultEndpoint.setPort(8200) ;  vaultEndpoint.setScheme("http") ;    vaultTemplate = new VaultTemplate(vaultEndpoint, new TokenAuthentication("hvs.xxxxxxxxxxooooooooo"));}

加密数据

@Testpublic void testEncrypt() {  String ret = vaultTemplate.opsForTransit().encrypt("db.password", "123123") ;  System.out.println(ret) ;}// 输出vault:v1:1WxwJjUJnN78FnqsTzxo+9wnGyHln3yCdG+lf5ZC/SDmeQ==

解密数据

@Testpublic void testDecrypt() {  String ret = vaultTemplate.opsForTransit().decrypt("db.password", "vault:v1:wBLlqFGICCnONZgwm+9JRRiOF/0xoxuO+OIy4omZoS1FBg==") ;  System.out.println(ret) ;}// 输出123123

5. 编程方式存储KV值

首先在Vault上建立一个mydata秘钥引擎。

@Testpublic void testCreate() {  Secrets ss = new Secrets();  ss.username = "admin";  ss.password = "123123";  Map<String, Object> data = new HashMap<>() ;  data.put("data", ss) ;  vaultTemplate.write("/mydata/data/db", data) ;}

查询获取数据

@Testpublic void testRead() {  System.out.println( vaultTemplate.read("/mydata/data/db").getData()) ;}

6. SpringBoot整合Vault

添加配置文件vault.properties，内容如下：

vault.uri=http://localhost:8200vault.token=hvs.xxxxxxxxoooooooo

配置类

@Configuration@VaultPropertySource(value = {"demo/db"})@PropertySource("vault.properties")@Import(EnvironmentVaultConfiguration.class)public class AppVaultConfig {}

@VaultPropertySource注解配置你需要查询的密钥key信息
@Import(EnvironmentVaultConfiguration.class) 该配置会自动在容器中配置VaultTemplate类型的Bean，并且读取的配置信息就是上面vault.properties中的。

以上就是SpringBoot与Vault整合所需要的全部内容。接下来在Vault服务上配置数据库的信息

以上准备工作做完后，接下来就可以在SpringBoot配置文件中去引用这些配置了。

spring:  datasource:    driverClassName: com.mysql.cj.jdbc.Driver    url: jdbc:mysql://localhost:3306/batch?serverTimezone=GMT%2B8&nullCatalogMeansCurrent=true&useSSL=false    username: ${db.username}    password: ${db.password}    type: com.zaxxer.hikari.HikariDataSource    hikari:      minimumIdle: 10      maximumPoolSize: 13