Spring Security
Spring Vault 通过提供 BytesKeyGenerator 和 BytesEncryptor 的实现与 Spring Security 集成。 两种实现都使用 Vault 的 transit 引擎。
示例 1.
VaultBytesKeyGenerator 示例VaultOperations operations = …;
VaultBytesKeyGenerator generator = new VaultBytesKeyGenerator(operations);
byte[] key = generator.generateKey();示例 2.
VaultBytesEncryptor 示例VaultTransitOperations transit = …;
VaultBytesEncryptor encryptor = new VaultBytesEncryptor(transit, "my-key-name");
byte[] ciphertext = encryptor.encrypt(plaintext);
byte[] result = encryptor.decrypt(ciphertext);Vault 封装了一个与您的 JVM 解耦的熵源以及服务器端的密钥管理。 这减轻了应用程序开发人员进行正确加密/解密的负担,并将该负担转移给了 Vault 的操作员。 Vault 的操作员通常包括组织中的安全团队,这意味着他们可以确保数据被正确加密/解密。 此外,由于加密/解密操作必须进入审计日志,因此任何解密事件都会被记录。该引擎还支持密钥轮换,这允许生成命名密钥的新版本。所有使用该密钥加密的数据都将使用密钥的最新版本;以前加密的数据可以使用旧版本的密钥进行解密。管理员可以控制哪些密钥的旧版本可用于解密,以防止攻击者获取旧的密文副本并能够成功解密。Vault 毕竟是一项网络服务,每次操作都会产生延迟。 组件如果大量使用加密或随机字节生成,可能会在吞吐量和性能上出现差异。