在现代应用程序中,敏感数据的保密性非常关键,例如API密钥、数据库密码等等。为了保证安全性,这些敏感数据必须储存在安全存储中,并且只能被经过授权的用户访问。Vault是一款由HashiCorp开发的开源工具,具有安全存储和动态访问控制等功能,是实现存储敏感信息的最佳选择。

本文将讨论如何在Go中使用Vault保密存储,访问Vault API,并利用Vault提供安全性和便利性来管理应用程序的敏感信息。

  1. 安装Vault

首先需要安装Vault并启动Vault服务器。可以去Vault官网下载适合你操作系统的二进制文件。 在安装之前,确认已经安装了Consul或etcd等后端存储。接下来,启动Vault应用程序,可以使用以下的命令:

$ vault server -dev

这将启动Vault服务器,并且启用开发/测试模式。在开发/测试模式下,Vault服务器存储在内存中,并且未加密,仅用于开发测试目的。在生产环境中,您需要使用安全的配置来启动Vault服务器和后端存储。

  1. 配置Vault

一旦Vault服务器启动,我们需要创建一个Vault配置,用于存储敏感信息。首先,需要创建一个新的秘密引擎。

$ vault secrets enable -path=secret kv
vault secrets list
vault kv put
$ vault kv put secret/jwt secretkey=shhhnotsosecret

以上命令将存储一个名为“jwt”的键/值对,并使用“secretkey”键将“shhhnotsosecret”值存储在节中。

  1. 在Go中使用Vault

现在已经配置了Vault,接下来我们需要在Go中使用Vault API读取敏感信息。

首先需要安装Vault客户端API。可以使用以下命令来安装Vault客户端API。

$ go get github.com/hashicorp/vault/api

接下来,需要创建一个新的Vault客户端。可以使用以下命令创建Vault客户端:

import (
    "github.com/hashicorp/vault/api"
)

config := api.DefaultConfig()
config.Address = "http://127.0.0.1:8200"
client, err := api.NewClient(config)

if err != nil {
    // handle error
}

以上代码将创建一个新的Vault客户端,并将其配置为与运行在本地主机上的Vault服务器通信。

接下来,需要从Vault存储区中读取密钥。可以使用以下代码从Vault存储区中获取密钥:

secret, err := client.Logical().Read("secret/data/jwt")

if err != nil {
    // handle error
}

以上代码将从Vault JWT密钥的键/值对中读取数据。如果读取成功,则返回一个包含数据的map[string]interface{}对象。

最后,我们可以使用以下代码从Vault的密钥存储区中获取密钥:

key := secret.Data["data"].(map[string]interface{})["secretkey"].(string)

以上代码将从Vault JWT密钥中获取签名密码。

  1. 总结

Vault是一款开源工具,具有安全存储和动态访问控制等功能,是实现存储敏感信息的最佳选择。在Go中使用Vault保密存储非常容易。只需要安装Vault服务器、配置Vault服务器和创建Vault客户端就可以管理Vault中的敏感数据。通过这种方式,可以确保敏感数据得到保护,并且只有经过授权的用户才能访问它。