我的某些服务在其配置中需要API机密。我的项目是开源的,所以我无法将这些秘密存储在主存储库中。
Spring Cloud Config能够连接到私有git存储库以检索秘密配置,但这样做需要凭据,我再次无法存储在主存储库中。
在使用Spring Cloud Config时,在开源应用程序中存储机密的最佳做法是什么?
答案 0 :(得分:1)
在开源和闭源应用程序中,凭证不应与源代码一起存储。
存在凭据的多种解决方案,您可以将它们存储到环境变量中,添加到.gitignore中添加的属性文件中,或者如果您想要更复杂的解决方案,可以使用专用工具,例如HashiCorp Vault 。有一篇有趣的官方Spring博客文章探索了这个解决方案:Managing Secrets with Vault。