问题标签 [spring-vault]

我已经使用 HashiCorp Vault 六个月了，我的所有秘密都来自配置服务。我正在使用spring.cloud.config.token连接我的所有客户端服务，但是当保管库令牌每 30 天左右过期时，问题就出现了。对于较低的环境，令牌到期是可以接受的，因为我们可以一次又一次地重新部署，但生产，我们不能重新部署。因此，决定使用 AWS IAM 角色，可以连接到保险库并且不会有任何过期。

我已关注此官方 链接，但在启动应用程序时遇到以下问题。

我已经用谷歌搜索了它，但没有得到有效的解决方案。

我在客户端服务（my-client-service）的 bootstrap.yml 文件中使用以下代码

引导程序.yml

到 AWS 的保险柜身份验证 ARN

将 ARN 与保险库策略相关联

我为同一个账户创建了一个 IAM 角色，该账户映射了一个保管库角色和策略，并将每个 IAM 角色映射到一个保管库角色和策略。

我错过了什么吗？如果我能找到这个问题的任何解决方案，那就太好了。提前致谢！

我想连接到 Vault 服务器并在 spring 应用程序中读取我的秘密

保险库配置：

在保险库中，我有查询策略添加附件查询令牌

返回我的数据

但在春天我得到了这个错误：

我用的是jdk14。我该如何解决呢，谢谢

我在spring项目中使用Vault服务器，当我想用​​maven创建一个jar文件时，我得到了这个错误。

我在网上搜索并发现Java 11中存在一些错误，但我使用了java 14。以及当我-Djdk.tls.client.protocols=TLSv1.2向我的pom文件添加选项时，异常没有变化这里是我的pom.xml文件

我正在尝试使用 Spring Vault 云从 Vault 中读取机密。我使用服务令牌类型。

在我的设置中，max_ttl 设置为 1h，ttl 设置为 10 分钟，因此令牌将每 10 分钟更新一次，直到达到 max_ttl。一旦达到 max_ttl，令牌将被丢弃/撤销并执行新登录，接收新令牌。

问题是在尝试读取机密时，仍然使用旧的过期令牌。

知道为什么会这样吗？

使用：

• spring-cloud-config-2.2.3
• spring-vault-core-2.2.0
• Kubernetes

保险柜审核日志：

OAuth2.0 使用秘密作为对称密钥，例如 HMACSHA256 算法用于生成签名。这个秘密很重要，否则任何人都可以创建一个“有效”的 JWT 令牌并呈现给服务器。例如，如果我创建一个 JWT 并对其进行签名，则该签名是有效的。只有服务器知道秘密或对称密钥。所以我无法创建一个将与服务器“通过”的 JWT，因为我不知道服务器的秘密。到目前为止，一切都很好。现在，如果有多个服务器和多个微服务，因此可能有几十个服务器，它们都需要知道相同的秘密，以便 JWT 在所有服务器中“通过”。这似乎是一个很大的漏洞。如果一台服务器被攻破并且秘密已知，那么所有服务器都可能被攻破。此外，缓解这种情况的小方法是不时轮换秘密。怎么可能呢？如果我们将秘密存储在保险库中，那么保险库的密码将在所有服务器中。所以即使这样也无济于事。有任何想法吗？？

我将 Hashicorp 保险库用作秘密存储，并通过 Ubuntu 20.04 上的 apt 存储库安装它。

之后，我添加了访问 UI 的根密钥，并且可以使用 UI 添加或删除机密。

每当我尝试使用命令行添加或获取机密时，都会收到以下错误：

我的保管库配置如下所示：

我将我的 spring 应用程序配置为连接到 Vault，当应用程序启动时，我在 path 上收到了不必要的调用[secret/application]。我的政策看起来像，

如果我把path "secret/application"它消失了。但我的政策中不需要那种不必要的政策。有没有办法解决这个问题。我的引导配置看起来像，

我正在尝试在 bean 中运行 Vault 容器并将其用于创建 VaultTemplate bean 以进一步在测试中使用

但是，当我尝试通过 VaultOperations 编写一些 kv 时，我得到：

“https://localhost:32998/v1/my/secret”的 GET 请求上的 I/O 错误：无法识别的 SSL 消息，明文连接？嵌套异常是 javax.net.ssl.SSLException: Unrecognized SSL message, plaintext connection?

我怎么解决这个问题？

在我的应用程序中，我们从我的应用程序中进行了两次调用，以从 Vault 获取机密，如下所示：

1. 登录到 Vault ：对 https::/v1/auth/approle/login 的 POST 调用——它将以 role_id 和 secret_id 作为有效负载，响应将是 client_token。

2. 获取机密：对 https::/v1/secret/data/abc/dev/xyz.json 的 GET 调用——它将标头作为 X-Vault-Token 和 X-Vault-Namespace，它会给你如下响应：

   { "request_id": "......", "lease_id": "", "renewable": false, "lease_duration": 0, "data": { "data": { "name": "ABC" }, "元数据": { "created_time": "...", "deletion_time": "", "destroyed": false, "version": 1 } }

现在我想使用 Spring Cloud Vault Dependency 来完成它。请为我提供适当的插图来完成这项工作？

我正在尝试将 spring Vault 作为一个额外的模块集成到我的 Web 应用程序中。我创建了一个新服务 EncryptionService，它调用我的 Spring Vault ApiVaultClient，如下所示：

我的保险柜配置VaultConfig.java：

我的 REST 客户端ApiVaultClient.java：

我的EncryptionService实现：

我的vault-config.properties：

我serviceContext.xml的位于我的业务模块中：

启动我的应用程序时，我收到以下错误：

我试图按照本书中大多数教程的建议进行操作，但徒劳无功。任何帮助将不胜感激。