安全服务帐户凭证 json 密钥 kotlin

Question

因此，我试图在本地主机上获取服务应用程序凭据，但遇到了一些问题。我创建并下载了 json 密钥，我想保护它们，而不是让它们以纯文本形式存在。

我想知道做到这一点的最佳方法。我有这样的代码：

fun getServiceAccountCredentials(
    pathToFallBackCredentialsFile: String
): ServiceAccountCredentials {
    return try {
        getApplicationDefault() as ServiceAccountCredentials
    } catch (e: IOException) {
        return ServiceAccountCredentials.fromStream(FileInputStream(pathToFallBackCredentialsFile))
    } catch (e: ClassCastException) {
        return ServiceAccountCredentials.fromStream(this::class.java.classLoader.getResourceAsStream(pathToFallBackCredentialsFile))
    }
}

这里的问题是我的 JSON 文件在我的存储库中以纯文本形式公开。

Answer 1

选项

1. 加密它们，然后让应用程序解密它们。但是，如果解密密钥位于同一个存储库中，那么您只是将问题移到了另一个地方，尽管某人需要有人读取/执行您的代码才能获取它们。
2. 您的应用程序将如何运行，例如在 Kubernetes 等 Docker 容器内或在您的数据中心运行的另一个应用程序？如果是这样，那么您将责任传递给应用程序容器管理器，以在启动时注入凭据（和其他环境细节），例如使用 Kubernetes 配置映射等。我们这样做并将生产配置映射保存在单独的 DevOps 存储库中。
3. 有针对此问题的专业秘密管理解决方案，并且您的应用程序在运行时调用秘密管理器以获取其所需的秘密，例如 https://www.hashicorp.com/products/vault 或云供应商的一些自定义

Answer 2

我找到了解决方案。

我从 GCP 激活了 Secret Manager，并在其中添加了 JSON 文件。

为了在java/kotlin应用程序中获取秘密（没有spring，如果你有spring，你可以使用“spring-cloud-gcp-starter-secretmanager”），我使用了下面的代码。

fun accessSecretVersion(secretId: String?, versionId: String?): String {
    val googleCredentials = GoogleCredentials.getApplicationDefault() as UserCredentials
    val projectId = googleCredentials.quotaProjectId
    return getSecret(projectId, secretId, versionId)
}

fun getSecret(projectId: String?, secretId: String?, versionId: String?): String {
    SecretManagerServiceClient.create().use { client ->
        val secretVersionName = SecretVersionName.of(projectId, secretId, versionId)

        val response = client.accessSecretVersion(secretVersionName)

        return response.payload.data.toStringUtf8()
    }
}