通过https以纯文本格式发送的Spring Cloud Config属性值

时间:2018-10-03 05:00:09

标签: spring spring-security spring-cloud-config

在Spring Cloud Config安全文档中发现here 

If the remote property sources contain encrypted content (values starting with {cipher}), they are decrypted before sending to clients over HTTP

如果通过http以明文形式发送消息,这是否破坏了保护消息的目的?

如果我们使用带有正确配置的安全证书的https。解密后的属性值将确保数据的完整性和机密性?

1 个答案:

答案 0 :(得分:2)

如果该属性由SCC服务器通过HTTP加密并在服务器端通过解密进行共享,那么实际上它将通过HTTP以纯文本格式发送。如果满足以下条件,则此设置有意义:

  1. 您关心的是确保静态财产的价值。因此,有权使用配置存储库的人将无法获得secret财产的价值。此外,它还可以防止对配置库的访问受到损害。
  2. 您不必担心在传输过程中确保财产价值。例如,您的应用程序服务器和SCC服务器都位于网络的受保护网段中,例如DMZ。

因此,您的问题的答案通常是。在某些情况下,保护数据的目的不会被破坏。

但是,如果您也需要在传输过程中保护配置属性,但是SCC和应用服务器之间的HTTP受限制,那么您可以设置客户端解密。为此,您必须使用适当的密钥在应用程序服务器上设置密钥库,并在服务器端禁用解密。

相关问题
最新问题