我的一些服务在其配置中需要 API 机密。我的项目是开源的,所以我不能将这些机密存储在主存储库中。
Spring Cloud Config 能够连接到私有 git 存储库以检索秘密配置,但要做到这一点,我需要凭据,而我也无法将其存储在主存储库中。
使用 Spring Cloud Config 时,在开源应用程序中存储机密的最佳实践是什么?
在开源和闭源应用程序中,凭据不应与源代码一起存储。
存在多种解决方案来存储凭据,您可以将它们存储到环境变量中,存储到.gitignore中添加的属性文件中,或者如果您想要更复杂的解决方案,您可以使用专用工具,例如HashiCorp Vault。有一篇有趣的官方Spring博客文章探讨了这个解决方案:使用Vault管理机密。