配置内容的加解密

在Git仓库中明文存储配置属性的。很多场景下，对于某些敏感的配置内容（例如数据库账号、密码等），应当加密存储。

安装JCE

下载JCE并解压，按照其中的README.txt的说明安装。JCE的安装非常简单，其实就是将JDK/jre/lib/security目录中的两个jar文件替换为压缩包中的jar文件。

Config Server的加解密端点

Config Server提供了加密与解密的端点,分别是/encrypt与/decrypt。
可使用以下代码来加密明文:
curl $CONFIG_SERVER_URL/encrypt -d 想要加密的明文
使用以下代码来解密明文：
curl $CONFIG_SERVER_URL/decrypt -d 想要解密的密文

对称加密

1.复制项目microservice-config-server，将ArtifactId修改为microservice-config-server-encryption。
2.修改application.yml。

encrypt:
    key:foo      #设置对称密钥

3.测试
输入命令
curl http://localhost:8080/encrypt -d mysecret
可返回一段数据f3c094b8b2af01f525961b29d383c7985e5dd76226443a5fd14340c94c7b84e1，说明mysecret已被加密。
curl http://localhost:8080/decrypt -d {cipher}f3c094b8b2af01f525961b29d383c7985e5dd76226443a5fd14340c94c7b84e1，
可返回mysecret，说明能够正常解密。

存储加密的内容

加密后的文件，可使用{cipher}密文的形式存储。
1.准备一个配置文件，命名为encryption.yml。

spring:
    datasource:
        username:dbuser
        password:'{cipher}{cipher}f3c094b8b2af01f525961b29d383c7985e5dd76226443a5fd14340c94c7b84e1'

2.使用http://localhost/encryption-default.yml可获得如下结果。
在这里插入图片描述

说明Config Server能自动解密配置内容。
一些场景下，想要让Config Server直接返回密文本身，而非解密后的内容，可设置spring.cloud.config.server.encrypt.enable=false,这可由Config Client自行解密。

非对称加密

1.复制项目microservice-config-server,将ArtifactId修改为microservice-config-server-encryption-rsa。
2.执行以下命令，并按照提示操作，即可创建一个Key Store。
keytool -genkeypair -alias mytestkey -keyalg RSA -dname “CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US” -keypass changeme -keystore server.jks -storepass letmein
3.将生成的server.jks文件复制到项目的classpath下。
4.在application.yml中添加以下内容。

encrypt:
    key-store:
        location: classpath:/server.jks  #jks文件的路径
        password: letmein                 #storepass
        alias: mytestkey                 #alias
        secret: changeme                 #keypass