Spray.io 日志泄露敏感信息
Spray.io log leaks sensitive information
我正在使用 Spray 客户端来使用第三方 API。不幸的是,我使用的 API 不是很安全,并且使用了使用 GET 查询参数的身份验证方法。
有时我们会遇到超时或连接问题,我们知道这些问题可以应用性地处理。问题是 Spray 在 WARN 日志级别记录此内容,并且 URL 包括敏感查询参数 () 正在写入我们的日志文件。
这是日志文件的示例。
2015-05-19 12:23:17,024 WARN HttpHostConnectionSlot - Connection attempt to 10.10.10.10:443 failed in response to GET request to /api/?type=keygen&user=test_user&password=S3kret! with 2 retries left, retrying...
2015-05-19 12:23:17,084 WARN HttpHostConnectionSlot - Connection attempt to 10.10.10.10:443 failed in response to GET request to /api/?type=keygen&user=test_user&password=S3kret! with 1 retries left, retrying...
有什么方法可以过滤这个吗? (也许在阿卡?)
Spray 重用 akka-logging 来完成所有日志记录基础工作。
在 akka 中,您可以在应用程序配置中重新声明自定义事件记录器:
akka {
# event-handlers = ["akka.event.Logging$DefaultLogger"] // default one
event-handlers = ["com.example.PrivacyLogger"] // custom one
# Options: ERROR, WARNING, INFO, DEBUG
loglevel = "DEBUG"
}
它可能看起来像这样:
class PrivacyLogger extends DefaultLogger {
override def receive: Receive = {
case InitializeLogger(_) ⇒ sender() ! LoggerInitialized
case event: LogEvent ⇒ print(stripSecret(event))
}
private def stripSecret(event:LogEvent) = ...
}
但是你总是可以在这里实现你自己的消息处理逻辑而不是简单的打印。
PS。如果您使用 slf4j 进行日志记录,解决方案看起来基本相同,但有一些细微差别,例如覆盖 akka.event.slf4j.Slf4jEventHandler 而不是 DefaultLogger.
我正在使用 Spray 客户端来使用第三方 API。不幸的是,我使用的 API 不是很安全,并且使用了使用 GET 查询参数的身份验证方法。 有时我们会遇到超时或连接问题,我们知道这些问题可以应用性地处理。问题是 Spray 在 WARN 日志级别记录此内容,并且 URL 包括敏感查询参数 () 正在写入我们的日志文件。
这是日志文件的示例。
2015-05-19 12:23:17,024 WARN HttpHostConnectionSlot - Connection attempt to 10.10.10.10:443 failed in response to GET request to /api/?type=keygen&user=test_user&password=S3kret! with 2 retries left, retrying...
2015-05-19 12:23:17,084 WARN HttpHostConnectionSlot - Connection attempt to 10.10.10.10:443 failed in response to GET request to /api/?type=keygen&user=test_user&password=S3kret! with 1 retries left, retrying...
有什么方法可以过滤这个吗? (也许在阿卡?)
Spray 重用 akka-logging 来完成所有日志记录基础工作。
在 akka 中,您可以在应用程序配置中重新声明自定义事件记录器:
akka {
# event-handlers = ["akka.event.Logging$DefaultLogger"] // default one
event-handlers = ["com.example.PrivacyLogger"] // custom one
# Options: ERROR, WARNING, INFO, DEBUG
loglevel = "DEBUG"
}
它可能看起来像这样:
class PrivacyLogger extends DefaultLogger {
override def receive: Receive = {
case InitializeLogger(_) ⇒ sender() ! LoggerInitialized
case event: LogEvent ⇒ print(stripSecret(event))
}
private def stripSecret(event:LogEvent) = ...
}
但是你总是可以在这里实现你自己的消息处理逻辑而不是简单的打印。
PS。如果您使用 slf4j 进行日志记录,解决方案看起来基本相同,但有一些细微差别,例如覆盖 akka.event.slf4j.Slf4jEventHandler 而不是 DefaultLogger.