如何在Spring Cloud环境中管理用于签署/验证JWT的私钥/公钥?
问题”:
目前我生成一个密钥对。然后将Private + Public Key复制到我的auth-server
应用程序。并将公钥复制到每个资源服务器。
当我现在想要实现“密钥轮换”时,我必须以某种方式为每个服务填充新密钥。
想法:
也许我可以使用spring-cloud-config-server
来存储和分发Key Pairs?
配置服务器已提供数据库登录凭据。那么为什么不在那里存储更敏感的信息呢?
问题(S):
如果这是要走的路:你如何用spring-cloud-config-server
实现密钥对分配?
你有任何安全问题吗?
你是怎么解决这个问题的?我想有更好的解决方案。
编辑:
也许有一些解决方案使用Spring Oauth的security.oauth2.resource.jwt.keyUri
属性为JWKs?
您应该考虑使用Spring Cloud Consul Config代替:
Consul提供用于存储配置和其他元数据的键/值存储。 Spring Cloud Consul Config是Config Server和Client的替代方案。在特殊的“bootstrap”阶段,配置被加载到Spring环境中。配置默认存储在/ config文件夹中。基于应用程序的名称和模拟Spring Cloud Config解析属性顺序的活动配置文件创建多个PropertySource实例。
您可以POST /刷新以更新密钥,或watch for changes:
Consul Config Watch利用领事的能力来观看密钥前缀。 Config Watch进行阻塞Consul HTTP API调用,以确定当前应用程序是否有任何相关配置数据已更改。如果有新配置数据,则发布刷新事件。