1. 概述

在本教程中, 我们将展示如何在Spring Boot应用程序中使用Hashicorp’s Vault来保护敏感的配置数据。

到这里我们假设你已经有一定的Vault知识,我们已经启动并运行一个测试设置。. 如果不是这样,让我们花点时间阅读我们的Vault入门教程 来了解它的基础知识。

2. Spring Cloud Vault

Spring Cloud Vault是Spring Cloud堆栈的一个相对较新的成员,它允许应用程序以透明的方式访问存储在 Vault实例中的加密数据。

一般来说,迁移到 Vault是一个非常简单的过程:只需添加所需的库,并向我们的项目添加一些额外的配置属性,我们就应该做好了。不需要修改任何代码!

这是可能的,因为它是在当前环境中注册的优先级较高的 PropertySource 。

因此,无论Spring何时需要属性,都会使用它。例如DataSource 属性、ConfigurationProperties等。

3. 将Spring Cloud Vault添加到Spring Boot项目

为了在基于maven的Spring Boot项目中引入 spring-cloud-vault库,我们使用辅助的starter 构件器,它将加载所有必需的依赖项。

除了主要的starter之外,我们还将包括spring-vault-config-databases,它增加了对动态数据库凭证的支持:


  2. ​<dependency>​
  3. ​    <groupId>org.springframework.cloud</groupId>​
  4. ​    <artifactId>spring-cloud-starter-vault-config</artifactId>​
  5. ​</dependency>​
  6. ​<dependency>​
  7. ​    <groupId>org.springframework.cloud</groupId>​
  8. ​    <artifactId>spring-cloud-vault-config-databases</artifactId>​
  9. ​</dependency>​

最新版的 Spring Cloud Vault starter 已经能够在Maven中心仓库下载了。

3.1. 基础配置

为了正常地工作,Spring Cloud Vault需要一种方法来确定在哪里与Vault 服务器通信,以及如何对其进行身份验证。

我们通过在 bootstrap.yml 或者 bootstrap.properties文件中配置必要的信息来做到这一点:


  2. ​# bootstrap.yml​
  3. ​spring:​
  4. ​  cloud:​
  5. ​    vault:​
  6. ​      uri: https://localhost:8200​
  7. ​      ssl:​
  8. ​        trust-store: classpath:/vault.jks​
  9. ​        trust-store-password: changeit​

spring.cloud.vault.uri属性指向Vault的API地址。由于我们的测试环境使用带有自签名证书的HTTPS,所以我们还需要提供包含其公钥的密钥存储库。

注意,这个配置没有身份验证数据。对于这种最简单的情况,我们可以使用一个固定的令牌,我们可以通过系统属性spring.cloud.vault.token或环境变量来配置它。这种方法与标准的云配置机制配合得很好,比如Kubernetes的ConfigMaps或Docker secrets。

对于我们想在应用程序中使用的各种类型的加密方式,Spring Vault也需要额外的配置。下面的部分描述了如何添加两个常见的加密类型支持:键/值和数据库凭证。

4. 使用一般的加密后端

我们使用一般的加密后端来访问存储在Vault中的键-值对的未定版本的加密数据。

假设我们已经在classpath中添加了spring-cloud-starter-vault-config的依赖,我们所要做的就是在应用程序的bootstrap.yml 文件中添加一些属性:


  2. ​spring:​
  3. ​  cloud:​
  4. ​    vault:​
  5. ​      # other vault properties omitted ...​
  6. ​      generic:​
  7. ​        enabled: true​
  8. ​        application-name: fakebank​

在这种情况下,application-name属性是可选的。如果不指定,Spring将使用标准spring.application.name的值代替。

我们现在可以使用存储在 secret/fakebank中的所有键/值对作为任何其他环境属性。下面的代码片段展示了如何读取存储在此路径下的foo键的值:


  2. ​@Autowired Environment env;​
  3. ​public String getFoo() {​
  4. ​    return env.getProperty("foo");​
  5. ​}​

正如我们所看到的,无需对Vault写任何代码,这是一件好事!我们仍然可以在本地测试中使用固定的属性,并按照我们的要求切换到Vault,只需在bootstrap.yml文件中启动一个属性即可。

4.1. 关于Spring配置文件的注释

如果在当前环境中可用,Spring Cloud Vault 将使用可用的概要文件名作为后缀追加到指定的基路径中,其中键/值对将被搜索。

它还将在一个可配置的默认应用程序路径下寻找属性(带有和没有配置后缀),这样我们就可以在一个位置共享加密数据。小心使用这个特性!

总而言之,如果fakebank应用程序的生产配置文件是灵活的,Spring Vault将寻找存储在以下路径下的属性:


  2. secret/fakebank/production (较高优先级)
  3. secret/fakebank
  4. secret/application/production
  5. secret/application (低优先级)

在前面的列表中,application是Spring为加密数据用作默认附加位置的名称。我们可以使用spring.cloud.vault.generic.default-context 属性修改它。

存储在最特定路径下的属性将优先于其他路径。例如,如果在上面的路径中有相同的属性foo,那么优先顺序将是:

5. 使用数据库加密后端

数据库后端模块允许Spring应用程序使用Vault创建动态生成的数据库凭证。Spring Vault将这些凭证注入标准的spring.datasource.username和spring.datasource.password属性,这样就可以通过常规的数据源进行选择。

请注意,在使用这个后端之前,我们必须像我们之前的教程中描述的那样,在Vault中创建一个数据库配置和角色。

为了在Spring应用程序中使用Vault生成的数据库凭证,spring-cloud-vault-config-databases必须出现在项目的类路径中,以及相应的JDBC驱动程序。

我们还需要在我们的bootstrap.yml文件中添加一些属性,从而使其在我们的应用程序中生效:


  2. ​spring:​
  3. ​  cloud:​
  4. ​    vault:​
  5. ​      # ... other properties omitted​
  6. ​      database:​
  7. ​        enabled: true​
  8. ​        role: fakebank-accounts-rw​

这里最重要的属性是role属性,它持有存储在Vault中的数据库角色名称。在引导期间,Spring将连接Vault,并请求来它创建具有相应特权的新凭证。

默认情况下,vault将在配置好的时间内取消与这些凭证相关的特权。

值得庆幸地是,Spring Vault将自动更新与获得的凭证相关的租约。通过这样做,证书将在我们的应用程序运行时保持长期有效。

现在,让我们看看这个集成。下面的代码片段从spring管理的数据源获得一个新的数据库连接:


  2. ​Connection c = datasource.getConnection();​

再一次,我们可以看到在我们的代码中没有Vault使用的迹象。所有的集成都发生在环境级别,所以我们的代码可以很容易地像往常一样进行单元测试。

6. 结论

在本教程中,我们已经展示了如何使用Spring Vault库将Vault与Spring Boot程序集成在一起。我们已经介绍了两个常见的用例:通用键/值对和动态数据库凭证。

一个包含所有必需依赖项、集成测试和 vault安装脚本的示例项目可以在GitHub上找到。