使用具有服务令牌的Java应用程序从hashicorp保险库中获取秘密

时间:2020-04-10 13:16:08

标签: java spring spring-boot spring-cloud-config hashicorp-vault

也许有人可以帮助我了解我错过了什么。

我使用这样的example来设置cloud-config服务,并使用另一个spring应用程序,该应用程序使用Vault来获取一些秘密。

如果我使用root令牌,则一切正常。

但是一旦我使用策略创建了service令牌

path "secret/data/test*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

path "secret/test*" {
  capabilities = ["create", "read", "update", "delete", "list"]
}

我可以使用

进行验证 
$ vault token capabilities secret/test
create, delete, list, read, update

并且卷曲

$ curl \
--header "X-Vault-Token: $VAULT_TOKEN" \
http://<dns-name>:8200/v1/secret/data/test | jq .
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   302  100   302    0     0   2796      0 --:--:-- --:--:-- --:--:--  2796
{
  "request_id": "44b5fdcf-a13c-8e12-83f3-a5064f25257d",
  "lease_id": "",
  "renewable": false,
  "lease_duration": 0,
  "data": {
    "data": {
      "test-key": "test-value"
    },
    "metadata": {
      "created_time": "2020-04-09T21:11:28.899688798Z",
      "deletion_time": "",
      "destroyed": false,
      "version": 1
    }
  },
  "wrap_info": null,
  "warnings": null,
  "auth": null
}

但是一旦我开始在应用程序中使用此令牌,它将返回

2020-04-10 13:38:43.186 DEBUG 43843 --- [nio-8888-exec-1] org.apache.http.wire: http-outgoing-0 >> “GET /v1/secret/data/test HTTP/1.1[\r][\n]”
http-outgoing-0 >> “X-Vault-Token: <TOKEN>[\r][\n]”
Response 403 FORBIDDEN

1 个答案:

答案 0 :(得分:0)

听起来好像该应用程序未正确附加凭据。尝试访问httpbin之类的网站。 /anything将返回它收到的请求。这是调试这些服务的简便方法。

如果您担心这些凭据,也可以在本地托管该站点。

相关问题
最新问题