如何安全地管理Spring Boot项目中的敏感配置信息

Source

在开发Spring Boot应用时,我们经常需要处理一些敏感的配置信息,比如数据库密码、API密钥等。以下是一个最佳实践方案:
在这里插入图片描述

1. 创建配置文件

application.yml(版本控制)

spring:
  datasource:
    url: ${
    
      MYSQL_URL:jdbc:mysql://localhost:3306/db_name}
    username: ${
    
      MYSQL_USERNAME:root}
    password: ${
    
      MYSQL_PASSWORD:}
  
  redis:
    host: ${
    
      REDIS_HOST:localhost}
    port: ${
    
      REDIS_PORT:6379}
    password: ${
    
      REDIS_PASSWORD:}

application-local.yml(本地开发,不进入版本控制)

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/my_local_db
    username: dev_user
    password: dev_password
  
  redis:
    host: localhost
    port: 6379
    password: local_redis_pass

在这里插入图片描述

  • 新创建application-local.yml,可能会自动加入git 管理,这里选择回滚为了保证这个文件不加入git 管理。

2. 配置.gitignore

将以下内容添加到.gitignore文件:

# 忽略本地配置文件
application-local.yml

在这里插入图片描述

3. 最佳实践说明

  1. application.yml 作为默认配置文件:

    • 包含所有配置项的模板
    • 使用环境变量占位符
    • 提供默认值
    • 可以提交到版本控制系统
  2. application-local.yml 作为本地开发配置:

    • 包含实际的本地开发环境配置
    • 包含敏感信息
    • 添加到.gitignore,不提交到版本控制系统
  3. 在开发环境中:

    • 开发人员可以根据自己的本地环境创建和修改application-local.yml
    • 每个开发人员可以有自己的本地配置,互不影响
  4. 在生产环境中:

    • 使用环境变量或外部配置系统提供实际的配置值
    • 不需要application-local.yml文件

4. 使用方法

  1. 克隆项目后,复制application.yml为application-local.yml
  2. 在application-local.yml中填入本地开发环境的实际配置
  3. 确保application-local.yml已在.gitignore中
  4. 启动应用时,Spring Boot会自动合并这两个配置文件