Spring 实战(第五版)
  • Spring 实战(第 5 版)
  • 第一部分 Spring 基础
  • 第 1 章 Spring 入门
    • 1.1 什么是 Spring?
    • 1.2 初始化 Spring 应用程序
      • 1.2.1 使用 Spring Tool Suite 初始化 Spring 项目
      • 1.2.2 检查 Spring 项目结构
    • 1.3 编写 Spring 应用程序
      • 1.3.1 处理 web 请求
      • 1.3.2 定义视图
      • 1.3.3 测试控制器
      • 1.3.4 构建并运行应用程序
      • 1.3.5 了解 Spring Boot DevTools
      • 1.3.6 回顾
    • 1.4 俯瞰 Spring 风景线
      • 1.4.1 Spring 核心框架
      • 1.4.2 Spring Boot
      • 1.4.3 Spring Data
      • 1.4.4 Spring Security
      • 1.4.5 Spring Integration 和 Spring Batch
      • 1.4.6 Spring Cloud
    • 1.5 小结
  • 第 2 章 开发 Web 应用程序
    • 2.1 展示信息
      • 2.1.1 建立域
      • 2.1.2 创建控制器类
      • 2.1.3 设计视图
    • 2.2 处理表单提交
    • 2.3 验证表单输入
      • 2.3.1 声明验证规则
      • 2.3.2 在表单绑定时执行验证
      • 2.3.3 显示验证错误
    • 2.4 使用视图控制器
    • 2.5 选择视图模板库
      • 2.5.1 缓存模板
    • 2.6 小结
  • 第 3 章 处理数据
    • 3.1 使用 JDBC 读写数据
      • 3.1.1 为域适配持久化
      • 3.1.2 使用 JdbcTemplate
      • 3.1.3 定义模式并预加载数据
      • 3.1.4 插入数据
    • 3.2 使用 Spring Data JPA 持久化数据
      • 3.2.1 添加 Spring Data JPA 到数据库中
      • 3.2.2 注解域作为实体
      • 3.2.3 声明 JPA repository
      • 3.2.4 自定义 JPA repository
    • 3.3 小结
  • 第 4 章 Spring 安全
    • 4.1 启用 Spring Security
    • 4.2 配置 Spring Security
      • 4.2.1 内存用户存储
      • 4.2.2 基于 JDBC 的用户存储
      • 4.2.3 LDAP 支持的用户存储
      • 4.2.4 自定义用户身份验证
    • 4.3 保护 web 请求
      • 4.3.1 保护请求
      • 4.3.2 创建用户登录页面
      • 4.3.3 登出
      • 4.3.4 阻止跨站请求伪造攻击
    • 4.4 了解你的用户
    • 4.5 小结
  • 第 5 章 使用配置属性
    • 5.1 微调自动配置
      • 5.1.1 理解 Spring 环境抽象
      • 5.1.2 配置数据源
      • 5.1.3 配置嵌入式服务器
      • 5.1.4 配置日志
      • 5.1.5 使用特殊的属性值
    • 5.2 创建自己的配置属性
      • 5.2.1 定义配置属性持有者
      • 5.2.2 声明配置属性元数据
    • 5.3 使用 profile 文件进行配置
      • 5.3.1 定义特定 profile 的属性
      • 5.3.2 激活 profile 文件
      • 5.3.3 有条件地使用 profile 文件创建 bean
    • 5.4 小结
  • 第二部分 集成 Spring
  • 第 6 章 创建 REST 服务
    • 6.1 编写 RESTful 控制器
      • 6.1.1 从服务器获取数据
      • 6.1.2 向服务器发送数据
      • 6.1.3 更新服务器上的资源
      • 6.1.4 从服务器删除数据
    • 6.2 启用超媒体
      • 6.2.1 添加超链接
      • 6.2.2 创建资源装配器
      • 6.2.3 嵌套命名关系
    • 6.3 启用以数据为中心的服务
      • 6.3.1 调整资源路径和关系名称
      • 6.3.2 分页和排序
      • 6.3.3 添加用户端点
      • 6.3.4 向 Spring Data 端点添加用户超链接
    • 6.4 小结
  • 第 7 章 调用 REST 服务
    • 7.1 使用 RestTemplate 调用 REST 端点
      • 7.1.1 请求 GET 资源
      • 7.1.2 请求 PUT 资源
      • 7.1.3 请求 DELETE 资源
      • 7.1.4 请求 POST 资源
    • 7.2 使用 Traverson 引导 REST API
    • 7.3 小结
  • 第 8 章 发送异步消息
    • 8.1 使用 JMS 发送消息
      • 8.1.3 接收 JMS 消息
      • 8.1.2 使用 JmsTemplate 发送消息
      • 8.1.1 设置 JMS
    • 8.2 使用 RabbitMQ 和 AMQP
      • 8.2.1 添加 RabbitMQ 到 Spring 中
      • 8.2.2 使用 RabbitTemplate 发送消息
      • 8.2.3 从 RabbitMQ 接收消息
    • 8.3 使用 Kafka 发送消息
      • 8.3.1 在 Spring 中设置 Kafka
      • 8.3.2 使用 KafkaTemplate 发送消息
      • 8.3.3 编写 Kafka 监听器
    • 8.4 小结
  • 第 9 章 集成 Spring
    • 9.1 声明简单的集成流
      • 9.1.1 使用 XML 定义集成流
      • 9.1.2 在 Java 中配置集成流
      • 9.1.3 使用 Spring Integration 的 DSL 配置
    • 9.2 探索 Spring Integration
      • 9.2.1 消息通道
      • 9.2.2 过滤器
      • 9.2.3 转换器
      • 9.2.4 路由
      • 9.2.5 分割器
      • 9.2.6 服务激活器
      • 9.2.7 网关
      • 9.2.8 通道适配器
      • 9.2.9 端点模块
    • 9.3 创建 Email 集成流
    • 9.4 总结
  • 第三部分 响应式 Spring
  • 第 10 章 Reactor 介绍
    • 10.1 理解响应式编程
      • 10.1.1 定义响应式流
    • 10.2 Reactor
      • 10.2.1 图解响应式流
      • 10.2.2 添加 Reactor 依赖
    • 10.3 通用响应式操作实战
      • 10.3.1 创建响应式类型
      • 10.3.2 响应式类型结合
      • 10.3.3 转换和过滤响应式流
      • 10.3.4 对反应类型执行逻辑操作
    • 10.4 总结
  • 第 11 章 开发响应式 API
    • 11.1 使用 Spring WebFlux
      • 11.1.1 Spring WebFlux 介绍
      • 11.1.2 编写响应式 Controller
    • 11.2 定义函数式请求处理程序
    • 11.3 测试响应式 Controller
      • 11.3.1 测试 GET 请求
      • 11.3.2 测试 POST 请求
      • 11.3.3 使用线上服务器进行测试
    • 11.4 响应式消费 REST API
      • 11.4.1 通过 GET 方式获取资源
      • 11.4.2 通过 POST 方式发送资源
      • 11.4.3 删除资源
      • 11.4.4 处理请求错误
      • 11.4.5 请求转换
    • 11.5 保护响应式 web API
      • 11.5.1 配置响应式 Web 安全
      • 11.5.2 配置响应式用户信息服务
    • 11.6 总结
  • 第 12 章 响应式持久化数据
    • 12.1 理解 Spring Data 响应式历程
      • 12.1.1 Spring Data 响应式精髓
      • 12.1.2 在响应式与非响应式之间进行转换
      • 12.1.3 开发响应式库
    • 12.2 使用响应式 Cassandra 库
      • 12.2.1 开启 Spring Data Cassandra
      • 12.2.2 理解 Cassandra 数据模型
      • 12.2.3 Cassandra 持久化实体映射
      • 12.2.4 编写响应式 Cassandra 库
    • 12.3 编写响应式 MongoDB 库
      • 12.3.1 开启Spring Data MongonDB
      • 12.3.2 MongoDB 持久化实体映射
      • 12.3.3 编写响应式 MongoDB 库
    • 12.4 总结
  • 第四部分 云原生 Spring
  • 第 13 章 服务发现
    • 13.1深入思考微服务
    • 13.2 配置服务注册
      • 13.2.1 配置 Eureka
      • 13.2.2 扩展 Eureka
    • 13.3 注册并发现服务
      • 13.3.1 配置 Eureka 客户端属性
      • 13.3.2 消费服务
    • 13.4 总结
  • 第 14 章 配置管理
    • 14.1 共享配置
    • 14.2 运行配置服务器
      • 14.2.1 启动配置服务器
      • 14.2.2 填写配置库
    • 14.3 消费共享的配置
    • 14.4 服务应用程序和特定配置文件的属性
      • 14.4.1 服务特定应用程序的属性
      • 14.4.2 服务配置文件属性
    • 14.5 为配置的属性加密
      • 14.5.1 在 Git 中加密属性
      • 14.5.2 在 Vault 中存储密码
    • 14.6 远程刷新配置属性
      • 14.6.1 手动刷新配置属性
      • 14.6.2 自动刷新配置属性
    • 14.7 总结
  • 第 15 章 处理失败和时延
    • 15.1 了解断路器
    • 15.2 定义断路器
      • 15.2.1 缓解时延
      • 15.2.2 管理断路器阈值
    • 15.3 管理失败事件
      • 15.3.1 介绍 Hystrix 面板
      • 15.3.2 了解 Hystrix 线程池
    • 15.4 聚合多个 Hystrix 流
    • 15.5 总结
  • 第五部分 部署Spring
  • 第 16 章 使用 SpringBoot Actuator
    • 16.1 介绍 Actuator
      • 16.1.1 配置 Actuator 基本路径
      • 16.1.2 启用和禁用 Actuator 端点
    • 16.2 使用 Actuator 端点
      • 16.2.1 获取重要的应用程序信息
      • 16.2.2 查看配置详细信息
      • 16.2.3 查看应用程序活动
      • 16.2.4 利用运行时指标
    • 16.3 自定义 Actuator
      • 16.3.1 向 /info 端点提供信息
      • 16.3.2 自定义健康指标
      • 16.3.3 注册自定义指标
      • 16.3.4 创建自定义端点
    • 16.4 保护 Actuator
    • 16.5 总结
  • 第 17 章 管理 Spring
    • 17.1 使用 SpringBoot Admin
      • 17.1.1 创建 Admin 服务端
      • 17.1.2 注册 Admin 客户端
    • 17.2 深入 Admin 服务端
      • 17.2.1 查看普通应用程序运行状况和信息
      • 17.2.2 观察关键指标
      • 17.2.3 检查环境属性
      • 17.2.4 查看并设置 log 级别
      • 17.2.5 监控线程
      • 17.2.6 追踪 HTTP 请求
    • 17.3 保护 Admin 服务端
      • 17.3.1 在 Admin 服务端中启用登录
      • 17.3.2 使用 Actuator 进行认证
    • 17.4 总结
  • 第 18 章 使用 JMX 监控 Spring
    • 18.1 使用 Actuator MBean
    • 18.2 创建自己的 MBean
    • 18.3 发送通知
    • 18.4 总结
  • 第 19 章 部署 Spring
    • 19.1 权衡部署选项
    • 19.2 构建并部署 WAR 文件
    • 19.3 将 JAR 文件推送到 Cloud Foundry
    • 19.4 在 Docker 容器中运行 SpringBoot
    • 19.5 终章
    • 19.6 总结
由 GitBook 提供支持
在本页

这有帮助吗?

  1. 第 14 章 配置管理
  2. 14.5 为配置的属性加密

14.5.2 在 Vault 中存储密码

上一页14.5.1 在 Git 中加密属性下一页14.6 远程刷新配置属性

最后更新于3年前

这有帮助吗?

HashiCorp Vault 是一个机密管理工具。与 Git 相比,Vault 的核心功能是以本机方式来处理机密信息的。所以对于配置机密信息来说,使用 Vault 作为 Config Server 的后端存储,是一种更好的选择。

要开始使用 Vault,请参照 Vault 网站上的安装说明 , 下载并安装 Vault 命令行工具。在本节中,将同时使用 vault 命令用于管理机密配置,以及启动 Vault 服务器。

$ vault server -dev -dev-root-token-id=roottoken
$ export VAULT_ADDR='http://127.0.0.1:8200'
$ vault status

第一个命令使用根令牌 (ID 是 roottoken)在开发模式下启动 Vault 服务器。开发模式,顾名思义,是一种简单但并不完全安全的模式。它不应该在生产环境中使用,但是在开发时使用非常有用,也更方便。

注意,Vault 服务器是一个功能强大,且非常健壮的机密管理服务器。本章没有足够的空间来详细讨论所有功能,只涉及在开发模式下简单使用 Vault 服务器。在将 Vault 投入生产环境之前,我强烈建议您通过阅读 Vault 文档,以了解 Vault 的详细信息 。

对 Vault 服务器的所有访问都需要向服务器提供令牌。根令牌是一种管理令牌,它允许您创建更多令牌。它也可以用来读写机密信息。在开发模式下启动服务器时,如果没有指定根令牌,将自动生成一个并在启动时写入日志文件中。为了方便使用,建议把根令牌设置为一个易于记忆的值,如 roottoken。

Vault 服务器以开发模式启动以后,它将侦听本地端口 8200。也可以设置 VAULT_ADDR 环境变量,如前面的代码段中第二个命令所展示的那样,以修改配置。

最后,vault status 命令验证前两个命令是否按预期工作了。您应该收到一个列表,其中包含大约六个属性,描述 Vault 服务器的配置,以及 Vault 是否被封存。(Valulte 不应在开发模式下被封存。)

如果使用 Vault 0.10.0 或更高版本,您需要执行一些其他操作,以便适配 Vault 与 Config Server 一起工作。因为高版本的 Vault 工作方式有一些更改,会导致与 Config Server 标准机密后端存储不兼容。以下两个命令重新创建名称为 secrets 的后端存储,这样就和 Config Server 兼容了:

$ vault secrets disable secret
$ vault secrets enable -path=secret kv

如果使用旧版本的 Vault,则以上这些步骤不需要执行。

保存机密信息到 Vault 中

使用 Vault 命令可以轻松地将机密写入 Vault。例如,假设您想将 MongoDB 的密码使用属性 spring.data.MongoDB.password,保存到 Vault 而不是 Git 中。使用 vault 命令,可以像下面这样操作:

目前重要的是要注意这三个部分的信息:机密信息的路径、键和值。路径非常类似于文件系统路径,允许您对相关的秘密使用相同路径进行分组。路径的前缀 secret/ 标识 Vault 后端(在本例中是名为“secret”的后端)

机密信息的键和值,是您正在向 Vault 写入的实际机密信息。当设置由 Config Server 提供服务的机密信息时,重要的是要使机密信息的键与配置属性的键完全一样。

您可以使用读取命令,验证写入的机密:

$ vault read secret/application
Key                             Value
---                             -----
refresh_interval                768h
spring.data.mongodb.password    s3cr3t

在向给定路径写入机密时,请注意,对给定路径的每次写入都将覆盖以前写入该路径的所有机密。例如,假设您又希望将 MongoDB 用户名写入到与前面的例子相同的 Vault 路径中。您不能简单地写入 spring.data.mongodb.username,这样做会导致原来的 spring.data.mongodb.password 信息丢失。您必须将它们同时写入:

% vault write secret/application \
        spring.data.mongodb.password=s3cr3t \
        spring.data.mongodb.username=tacocloud

现在您已经在 Vault 中存储了一些机密信息,让我们看看如何将 Vault 配置为 Config Server 的后端存储。

在 Config Server 中配置 Vault 后端存储

要将 Vault 添加为 Config Server 的后端存储,您需要做的是添加 vault 到当前激活的 profile 中。在 Config Server 的 application.yml 文件中,可以这样做:

spring:
  profiles:
    active:
    - vault
    - git

如上所示,vault 和 git 都处于活动状态,这允许 Config Server 可以从 Vault 和 Git 获取属性配置。通常,您只需要将机密信息写入 Valult,对不需要保密的信息可以继续使用 Git。但如果您希望将所有配置写入 Vault,而不再使用 Git,您可以在 spring.profiles.active 中去除 Git,只设置为 vault。

默认情况下,Config Server 将假定 Vault 在本地主机上运行,并侦听 8200 端口。您可以在 Config Server 的配置中做更改:

spring:
  cloud:
    config:
      server:
        git:
          uri: http://localhost:10080/tacocloud/tacocloud-config
          order: 2
        vault:
          host: vault.tacocloud.com
          port: 8200
          scheme: https
          order: 1

注意,上述配置中仍然保存了 Git,这假设 Vault 和 Git 分担了提供配置的责任。order 属性指定了 Vault 提供的机密信息将优先于Git 提供的属性。Config Server 配置为使用 Vault 后端后,您可以通过 curl 命令模拟客户端调用:

[habuma:habuma]% curl localhost:8888/application/default | jq
{
  "timestamp": "2018-04-29T23:33:22.275+0000",
  "status": 400,
  "error": "Bad Request",
  "message": "Missing required header: X-Config-Token",
  "path": "/application/default"
}

不好!看起来像是出了什么问题!事实上,此错误表明 Config Server 正在从 Vault 中提供机密信息,但请求未包含 Vault 令牌。

所有 Vault 请求都应包含 X-Vault-Token 请求头。这不是在 Config Server 中配置该令牌,而是 Config Server 的客户端,在向 Config Server 发送请求时,要在请求头中包含 X-Config-token。然后 Config Server 会使用这个令牌,对 Vault 发出请求,同样将令牌放在请求头 X-Config-Token 中。

如您所见,由于请求中缺少令牌,Config Server 将拒绝提供配置服务,即使是来自 Git 的属性也不行。这是一个有趣的副作用,同时使用Vault 与 Git时,除非提供有效的令牌,否则 Git 属性都会被 Config Server 间接隐藏起来。

再次尝试一下,这次在请求头中添加 X-Config-Token:

$ curl localhost:8888/application/default
      -H"X-Config-Token: roottoken" | jq

请求中的 X-Config-Token 应该会得到很好的结果,包括 Vault 中的机密令牌。此处给出的令牌是您在开发模式下启动 Vault 服务器时指定的根令牌。它可以是任何在 Vault 服务器中创建的,未过期且已授予该权限访问 Vault 机密的令牌。

在 Config Server 客户端中设置 Vault 令牌

显然,您无法在每个微服务中使用 curl 来指定从 Config Server 中请求配置时所使用的令牌。您需要添加对每个应用程序的本地配置进行一点配置:

spring:
  cloud:
    config:
      token: roottoken

spring.cloud.config.token 属性告诉 Config Server 客户端,它向 Config Server 发出请求时所使用的令牌值。此属性必须在应用程序的本地配置中设置(不存储在 Config Server 的 Git 或 Vault 后端),以便 Config Server 可以将其值传递到 Vault。

写入特定于应用程序和 profile 的机密

当 Config Server 提供服务时,写入 application 路径的机密会服务于所有应用程序,无论其名称如何。如果只需要对某些应用程序使用机密令牌,可将路径的 application 部分替换为具体的应用程序名称。例如,以下 Vault 写入命令将写入只特定服务于 ingredient-service 应用程序的机密。(名称由 spring.application.name 指定):

$ vault write secret/ingredient-service \
              spring.data.mongodb.password=s3cr3t

同样,如果您没有指定 profile,写入 Vault 的机密将服务于默认 profile。也就是说,客户将接收这些秘密,而不管当前激活的 profile 是什么。您可以向特定的 profile 写入机密,像下面这样:

% vault write secret/application,production \
              spring.data.mongodb.password=s3cr3t \
              spring.data.mongodb.username=tacocloud

这样写入的机密信息,将只提供给当前激活的 profile 是 production 的应用程序。

spring.cloud.config.server.vault.* 属性允许您覆盖 Config Server 使用 Vault 的默认值。在这里告诉 Config Server, Vault 的 API 地址为

https://vault.tacocloud.com:8200。
https://learn.hashicorp.com/tutorials/vault/getting-started-install
https://www.vaultproject.io/docs