客户端支持

Spring Vault 支持各种 HTTP 客户端来访问 Vault 的 HTTP API。Spring Vault 使用 RestTemplate 作为访问 Vault 的主要接口。专门的客户端支持源于仅限于 Spring Vault 客户端组件的定制 SSL 配置

Spring Vault 支持以下 HTTP 命令式客户端

  • Java 内置的 HttpURLConnection(如果没有其他可用客户端,则为默认客户端)

  • Apache Http Components

  • OkHttp 3

Spring Vault 的响应式集成支持以下响应式 HTTP 客户端

  • Java 内置的响应式 HttpClient(如果没有其他可用客户端,则为默认客户端)

  • Reactor Netty

  • Apache Http Components

  • Jetty

使用特定客户端需要在类路径上提供相应的依赖,以便 Spring Vault 可以使用可用的客户端与 Vault 通信。

Java 内置的 HttpURLConnection

Java 内置的 HttpURLConnection 是开箱即用的,无需额外配置。使用 HttpURLConnection 在 SSL 配置方面存在限制。Spring Vault 不会应用定制 SSL 配置,因为它需要对 JVM 进行深度重新配置。这种配置会影响所有依赖默认 SSL 上下文的组件。使用 HttpURLConnection 配置 SSL 设置需要您将这些设置作为系统属性提供。有关更多详细信息,请参阅定制 JSSE

外部客户端

您可以使用外部客户端访问 Vault 的 API。只需将以下依赖之一添加到您的项目。如果使用Spring Vault 的依赖 BOM,则可以省略版本号。

示例 1. Apache Http Components 依赖
<dependency>
  <groupId>org.apache.httpcomponents.client5</groupId>
  <artifactId>httpclient5</artifactId>
</dependency>
Apache HttpClient 的线日志可以通过日志配置启用。请确保不要意外启用线日志,因为日志可能会以明文形式暴露应用程序和 Vault 之间的流量(令牌和秘密)。
示例 2. Square OkHttp 3
<dependency>
  <groupId>com.squareup.okhttp3</groupId>
  <artifactId>okhttp</artifactId>
</dependency>
示例 3. Reactor Netty
<dependency>
  <groupId>io.projectreactor.netty</groupId>
  <artifactId>reactor-netty</artifactId>
</dependency>
示例 4. Apache Http Components 响应式依赖
<dependency>
  <groupId>org.apache.httpcomponents.core5</groupId>
  <artifactId>httpcore5-reactive</artifactId>
</dependency>
示例 5. Jetty
<dependency>
  <groupId>org.eclipse.jetty</groupId>
  <artifactId>jetty-reactive-httpclient</artifactId>
</dependency>

Vault 客户端 SSL 配置

SSL 可以通过设置各种属性使用 SslConfiguration 进行配置。您可以设置 javax.net.ssl.trustStore 来配置 JVM 全局的 SSL 设置,或者配置 SslConfiguration 仅为 Spring Vault 设置 SSL。

SslConfiguration sslConfiguration = SslConfiguration.create(            (1)
		new FileSystemResource("client-cert.jks"), "changeit".toCharArray(),
		new FileSystemResource("truststore.jks"), "changeit".toCharArray());

SslConfiguration.forTrustStore(new FileSystemResource("keystore.jks"),  (2)
                                      "changeit".toCharArray())

SslConfiguration.forKeyStore(new FileSystemResource("keystore.jks"),    (3)
                                      "changeit".toCharArray())

SslConfiguration.forKeyStore(new FileSystemResource("keystore.jks"),    (4)
                                      "changeit".toCharArray(),
                                      KeyConfiguration.of("key-password".toCharArray(),
                                      "my-key-alias"))
1 完整配置。
2 仅配置信任库设置。
3 仅配置密钥库设置。
4 仅配置密钥库设置并提供密钥配置。

请注意,提供 SslConfiguration 仅在类路径上存在 Apache Http Components 或 OkHttp 客户端时适用。

SSL 配置还支持 PEM 编码的证书作为 Java Key Store 的替代方案。

KeyStoreConfiguration keystore = KeyStoreConfiguration
        .of(new ClassPathResource("ca.pem")).withStoreType("PEM");
SslConfiguration configuration = SslConfiguration.forTrustStore(keystore);

PEM 文件可以包含一个或多个证书(-----BEGIN CERTIFICATE----------END CERTIFICATE----- 块)。添加到底层 KeyStore 的证书使用完整的subject name作为别名。