在开源应用程序中保持 Spring Cloud Config 安全
Keeping Spring Cloud Config Secure in an Open Source Application
我的某些服务需要 API 配置中的秘密。我的项目是开源的,所以我不能将这些秘密存储在主存储库中。
Spring Cloud Config 能够连接到私有 git 存储库以检索秘密配置,但这样做需要凭据,我再次无法将其存储在主存储库中。
使用 Spring Cloud Config 时,在开源应用程序中存储机密的最佳做法是什么?
在开源和闭源应用程序中,凭据不应与源代码一起存储。
存在多种存储凭据的解决方案,您可以将它们存储到环境变量中,存储到 .gitignore 中添加的 属性 文件中,或者如果您想要更精细的解决方案,您可以使用专用工具,例如作为 HashiCorp Vault. There is an interesting official Spring blog post exploring this solution : Managing Secrets with Vault.
我的某些服务需要 API 配置中的秘密。我的项目是开源的,所以我不能将这些秘密存储在主存储库中。
Spring Cloud Config 能够连接到私有 git 存储库以检索秘密配置,但这样做需要凭据,我再次无法将其存储在主存储库中。
使用 Spring Cloud Config 时,在开源应用程序中存储机密的最佳做法是什么?
在开源和闭源应用程序中,凭据不应与源代码一起存储。
存在多种存储凭据的解决方案,您可以将它们存储到环境变量中,存储到 .gitignore 中添加的 属性 文件中,或者如果您想要更精细的解决方案,您可以使用专用工具,例如作为 HashiCorp Vault. There is an interesting official Spring blog post exploring this solution : Managing Secrets with Vault.