配置加密

设计

客户端:

  • 客户端本地生成一对公钥和私钥,请求配置文件时携带公钥参数,服务端使用客户端发来的公钥作为KEK(密钥加密密钥)对配置文件的DEK进行加密,然后返回客户端配置密文和DEK密文,客户端收到后用私钥解密DEK密文得到DEK明文,再用DEK解密配置密文。
  • 客户端解密流程

控制台:

  • 创建加密配置: 创建配置接口增加是否加密参数,如果需要加密,服务端生成数据加密密钥DEK,加密配置文件,保存配置文件密文到配置文件表,保存DEK和配置创建人配置文件的标签表。

  • 查看加密配置: 用户在有读权限的前提下,请求获取配置文件,如果配置文件是加密的,服务端额外校验请求人是否为创建人,如果是则使用DEK解密配置文件后返回;如果不是则只返回配置文件密文。

  • 控制台创建读取流程

如何启用配置加密

  • 在新增配置文件中,点击配置加密的开关按钮

  • 确认开启配置加密后,选择期望的配置加密算法

  • 正常填写配置内容并发布

  • 客户端接口获取到的文件内容是加密的

当前支持的客户端版本