原文链接：https://www.baeldung.com/spring-cloud-vault

作者： Philippe Sevestre

译者：康仔

1. 概述

在本教程中, 我们将展示如何在Spring Boot应用程序中使用Hashicorp’s Vault来保护敏感的配置数据。

到这里我们假设你已经有一定的Vault知识，我们已经启动并运行一个测试设置。. 如果不是这样，让我们花点时间阅读我们的Vault入门教程 来了解它的基础知识。

2. Spring Cloud Vault

Spring Cloud Vault是Spring Cloud堆栈的一个相对较新的成员，它允许应用程序以透明的方式访问存储在 Vault实例中的加密数据。

一般来说，迁移到 Vault是一个非常简单的过程：只需添加所需的库，并向我们的项目添加一些额外的配置属性，我们就应该做好了。不需要修改任何代码！

这是可能的，因为它是在当前环境中注册的优先级较高的 PropertySource 。

因此，无论Spring何时需要属性，都会使用它。例如DataSource 属性、ConfigurationProperties等。

3. 将Spring Cloud Vault添加到Spring Boot项目

为了在基于maven的Spring Boot项目中引入 spring-cloud-vault库，我们使用辅助的starter 构件器，它将加载所有必需的依赖项。

除了主要的starter之外，我们还将包括spring-vault-config-databases，它增加了对动态数据库凭证的支持：

1. <dependency>

2.    <groupId>org.springframework.cloud</groupId>

3.    <artifactId>spring-cloud-starter-vault-config</artifactId>

4. </dependency>

5. <dependency>

6.    <groupId>org.springframework.cloud</groupId>

7.    <artifactId>spring-cloud-vault-config-databases</artifactId>

8. </dependency>

最新版的 Spring Cloud Vault starter 已经能够在Maven中心仓库下载了。

3.1. 基础配置

为了正常地工作，Spring Cloud Vault需要一种方法来确定在哪里与Vault 服务器通信，以及如何对其进行身份验证。

我们通过在 bootstrap.yml 或者 bootstrap.properties文件中配置必要的信息来做到这一点:

1. # bootstrap.yml

2. spring:

3.  cloud:

4.    vault:

5.      uri: https://localhost:8200

6.      ssl:

7.        trust-store: classpath:/vault.jks

8.        trust-store-password: changeit

spring.cloud.vault.uri属性指向Vault的API地址。由于我们的测试环境使用带有自签名证书的HTTPS，所以我们还需要提供包含其公钥的密钥存储库。

注意，这个配置没有身份验证数据。对于这种最简单的情况，我们可以使用一个固定的令牌，我们可以通过系统属性spring.cloud.vault.token或环境变量来配置它。这种方法与标准的云配置机制配合得很好，比如Kubernetes的ConfigMaps或Docker secrets。

对于我们想在应用程序中使用的各种类型的加密方式，Spring Vault也需要额外的配置。下面的部分描述了如何添加两个常见的加密类型支持：键/值和数据库凭证。

4. 使用一般的加密后端

我们使用一般的加密后端来访问存储在Vault中的键-值对的未定版本的加密数据。

假设我们已经在classpath中添加了spring-cloud-starter-vault-config的依赖，我们所要做的就是在应用程序的bootstrap.yml 文件中添加一些属性:

1. spring:

2.  cloud:

3.    vault:

4.      # other vault properties omitted ...

5.      generic:

6.        enabled: true

7.        application-name: fakebank

在这种情况下，application-name属性是可选的。如果不指定，Spring将使用标准spring.application.name的值代替。

我们现在可以使用存储在 secret/fakebank中的所有键/值对作为任何其他环境属性。下面的代码片段展示了如何读取存储在此路径下的foo键的值：

1. @Autowired Environment env;

2. public String getFoo() {

3.    return env.getProperty("foo");

4. }

正如我们所看到的，无需对Vault写任何代码，这是一件好事！我们仍然可以在本地测试中使用固定的属性，并按照我们的要求切换到Vault，只需在bootstrap.yml文件中启动一个属性即可。

4.1. 关于Spring配置文件的注释

如果在当前环境中可用，Spring Cloud Vault 将使用可用的概要文件名作为后缀追加到指定的基路径中，其中键/值对将被搜索。

它还将在一个可配置的默认应用程序路径下寻找属性（带有和没有配置后缀），这样我们就可以在一个位置共享加密数据。小心使用这个特性！

总而言之，如果fakebank应用程序的生产配置文件是灵活的，Spring Vault将寻找存储在以下路径下的属性：

1. secret/fakebank/production (较高优先级)

2. secret/fakebank

3. secret/application/production

4. secret/application (低优先级)

在前面的列表中，application是Spring为加密数据用作默认附加位置的名称。我们可以使用spring.cloud.vault.generic.default-context 属性修改它。

存储在最特定路径下的属性将优先于其他路径。例如，如果在上面的路径中有相同的属性foo，那么优先顺序将是：

5. 使用数据库加密后端

数据库后端模块允许Spring应用程序使用Vault创建动态生成的数据库凭证。Spring Vault将这些凭证注入标准的spring.datasource.username和spring.datasource.password属性，这样就可以通过常规的数据源进行选择。

请注意，在使用这个后端之前，我们必须像我们之前的教程中描述的那样，在Vault中创建一个数据库配置和角色。

为了在Spring应用程序中使用Vault生成的数据库凭证，spring-cloud-vault-config-databases必须出现在项目的类路径中，以及相应的JDBC驱动程序。

我们还需要在我们的bootstrap.yml文件中添加一些属性，从而使其在我们的应用程序中生效：

1. spring:

2.  cloud:

3.    vault:

4.      # ... other properties omitted

5.      database:

6.        enabled: true

7.        role: fakebank-accounts-rw

这里最重要的属性是role属性，它持有存储在Vault中的数据库角色名称。在引导期间，Spring将连接Vault，并请求来它创建具有相应特权的新凭证。

默认情况下，vault将在配置好的时间内取消与这些凭证相关的特权。

值得庆幸地是，Spring Vault将自动更新与获得的凭证相关的租约。通过这样做，证书将在我们的应用程序运行时保持长期有效。

现在，让我们看看这个集成。下面的代码片段从spring管理的数据源获得一个新的数据库连接：

1. Connection c = datasource.getConnection();

再一次，我们可以看到在我们的代码中没有Vault使用的迹象。所有的集成都发生在环境级别，所以我们的代码可以很容易地像往常一样进行单元测试。

6. 结论

在本教程中，我们已经展示了如何使用Spring Vault库将Vault与Spring Boot程序集成在一起。我们已经介绍了两个常见的用例：通用键/值对和动态数据库凭证。

一个包含所有必需依赖项、集成测试和 vault安装脚本的示例项目可以在GitHub上找到。

推荐： 

上一篇：