1.概述
在本文中我们将展示如何在Spring Boot应用程序中使用Hashicorp的Vault来保护敏感的配置数据。
我们在这里假设你已经掌握了一些Vault知识,并且已经准备好了运行环境。如果不是这样的话,让我们花点时间阅读下之前的文章Vault 介绍教程,以便我们熟悉其基础知识。
2. Spring Cloud Vault
Spring Cloud Vault是Spring Cloud堆栈的一个新增功能,允许应用程序以透明的方式访问存储在Vault实例中的机密。
通常,迁移到Vault是一个非常简单的过程:只需添加所需的库并为项目添加一些额外的配置属性,我们应该很高兴。无需更改代码!
这是可能的,因为它充当在当前环境中注册的高优先级PropertySource。因此,只需要属性,Spring就会使用它。示例包括DataSource属性,ConfigurationProperties等。
3.将Spring Cloud Vault添加到Spring Boot项目
为了在基于Maven的Spring Boot项目中包含spring-cloud-vault库,我们使用相关的启动工件,它将获取所有必需的依赖项。
除了主要启动器之外,我们还将包括spring-vault-config-databases,它增加了对动态数据库凭据的支持:
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-vault-config</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-vault-config-databases</artifactId>
</dependency>
基本配置
为了正常工作,Spring Cloud Vault需要一种方法来确定联系Vault服务器的位置以及如何针对它进行身份验证。
我们通过在bootstrap.yml或bootstrap.properties中提供必要的信息来实现此目的:
spring:
cloud:
vault:
uri: https://localhost:8200
connection-timeout: 5000
read-timeout: 15000
config:
order: -10
ssl:
trust-store: classpath:/vault.jks
trust-store-password: changeit
该spring.cloud.vault.uri属性指向Vault库的API地址。由于我们的测试环境使用带有自签名证书的HTTPS,因此我们还需要提供包含其公钥的密钥库。
请注意,此配置没有身份验证数据。对于最简单的情况,我们使用固定令牌,我们可以通过系统属性spring.cloud.vault.token或环境变量传递它。这种方法可以与标准云配置机制结合使用,例如Kubernetes的ConfigMaps或Docker机密。
Spring Vault还需要为我们要在应用程序中使用的每种类型的Secret配置额外的配置。以下部分描述了我们如何添加对两种常见Secret类型的支持:键/值和数据库凭据。
kv:
enabled: false
backend: kv
application-name: fakebank
database:
enabled: true
role: fakebank-accounts-ro
backend: database
username-property: spring.datasource.username
password-property: spring.datasource.password
4.使用Generic Secrets后端
我们使用通用机密后端来访问存储在Vault中的键值对的无版权机密。
假设我们的类路径中已经有spring-cloud-starter-vault-config依赖项,我们所要做的就是在应用程序的bootstrap.yml配置文件中添加一些属性:
spring:
cloud:
vault:
generic:
enabled: true
application-name: fakebank
在这种情况下,属性application-name是可选的。如果未指定,Spring将采用标准spring.application.name的值。
我们现在可以使用存储在secret / fakebank中的所有键/值对作为任何其他Environment属性。以下代码段显示了我们如何读取存储在此路径下的api_key键的值:
@Autowired Environment env;
public String getApiKey() {
return env.getProperty("api_key");
}
我们可以看到,代码本身对Vault一无所知,这是一件好事!我们仍然可以在本地测试中使用固定属性,并通过在bootstrap.yml中启用单个属性来切换到Vault 。
关于Spring配置文件的一点说明
如果在当前环境中可用,则Spring Cloud Vault 将使用可用的配置文件名称作为附加到指定基本路径的后缀,搜索其中的键/值对。
它还将在可配置的默认应用程序路径下查找属性(使用或不使用配置文件后缀),这样我们就可以在一个位置拥有共享机密。请谨慎使用此功能!
总而言之,如果fakebank 应用程序的生产配置文件处于活动状态,Spring Vault将查找存储在以下路径下的属性:
- secret/fakebank/production(更高优先级)
- secret/fakebank
- secret/application/production
- secret/application(优先级较低)
在前面的列表中,application是Spring用作Secret的默认附加位置的名称。我们可以使用spring.cloud.vault.generic.default-context属性对其进行修改。
5.使用数据库密钥后端
数据库后端模块允许Spring应用程序使用由Vault创建的动态生成的数据库凭据。Spring Vault在标准的spring.datasource.username和spring.datasource.password属性下注入这些凭据,因此可以通过常规DataSource选择它们。
请注意,在使用此后端之前,我们必须在Vault中创建数据库配置和角色,如上一个教程中所述。
为了在Spring应用程序中使用Vault生成的数据库凭据,spring-cloud-vault-config-databases必须存在于项目的类路径中,以及相应的JDBC驱动程序。
我们还需要通过在bootstrap.yml中添加一些属性来在我们的应用程序中使用它:
spring:
cloud:
vault:
database:
enabled: true
role: fakebank-accounts-ro
backend: database
这里最重要的属性是role属性,它包含存储在Vault中的数据库角色名称。在引导期间,Spring将联系Vault并请求它创建具有相应权限的新凭据。
默认情况下,保管库将在配置的生存时间之后撤消与这些凭据关联的权限。
幸运的是,Spring Vault将自动续订与获取的凭据相关的租约。通过这样做,只要我们的应用程序运行,凭据就会保持有效。
现在,让我们看看这种整合的实际效果。以下代码段从Spring管理的DataSource获取新的数据库连接:
Connection c = datasource.getConnection()
再一次,我们可以看到代码中没有使用Vault的迹象。所有集成都发生在环境级别,因此我们的代码可以像往常一样轻松进行单元测试。
6.结论
在本教程中,我们展示了如何使用Spring Vault库将Vault与Spring Boot集成。我们已经介绍了两个常见用例:通用键/值对和动态数据库凭据。
GitHub上提供了一个包含所有必需依赖项,集成测试和数据库设置脚本的示例项目。