,是它可以配置Spring雲庫配置利用請求配置的給定令牌?春雲配置在GIT /庫後端 - 而不是給一個AppRole或靜態令牌春季雲配置服務器跨<strong>ALL</strong>應用程序訪問<strong>ALL</strong>祕密令牌直通
這種通信將超過在報頭中的令牌2路SSL。向外發送這種令牌並不理想,但在這種情況下似乎是正確的解決方案。
請記住,這是使用Git +庫作爲後端,以解決祕密,變量等,到所需配置的春季雲配置服務器。這不僅可以用於Spring配置,還可以用於其他文件,比如Apache的httpd.conf(將密碼推入的不好的例子)
這裏的目標是限制訪問並儘量限制訪問到請求配置的最終應用程序。在Spring Config中使用AuthZ也不會重複RBAC工作AND保險櫃策略。
可以配置會談配置服務器,以它自己獨特的令牌發送到配置服務器,然後通過對庫通過每年春季啓動應用程序。
庫將允許訪問基於定義訪問該資源,並授予令牌的權限政策所請求的資源。
第1步:定義一個策略。
cat ./rules/application-a.hcl <<EOF
path "secret/application" {
capabilities = ["read", "list"]
}
path "secret/application-a" {
capabilities = ["read", "list"]
}
EOF
第2步:將策略寫入保險庫。
vault write sys/policy/policy-application-a [email protected]/rules/application-a.hcl
步驟3:使用定義的策略創建令牌。
vault token-create -display-name="My Application A" -policy="policy-application-a"
第4步:寫一些數據到保險櫃
vault write secret/application-a @application-a-config.json
5步:配置Spring啓動應用程序使用它的令牌。
使用在上面的步驟3中創建的令牌。在應用程序的bootstrap.yml文件中設置以下內容。如果你在集裝箱環境中運行,你也可以在運行時通過它。
spring:
cloud:
config:
uri: https://configserver:8888/
token: <secret token>
Spring將令牌從客戶端應用程序傳輸到配置服務器,然後處理到Vault。
對於任何其他應用程序,可以在HTTP請求的報頭中設置的標記。
從Vault文檔: https://www.vaultproject.io/intro/getting-started/apis.html
curl -X GET -H "X-Vault-Token:$VAULT_TOKEN" http://127.0.0.1:8200/v1/secret/application-a
我希望這可以幫助你。