[Spring Cloud로 구현하는 마이크로서비스] Section. 9 암호차 처리를 위한 Encryption과 Decryption

Encryption types (암호화 타입)

• Symmetric Encryption (암복호화 같은 키)
• Asymmetric Encryption (암복호화 다른 키)[private - public key]

 

암.복호화 구성도

암호화되어 저장된 정보를 복호화하여 마이크로서비스에서 사용하려고 한다.

 

암.복호화 사용해보기

config-server에 'ecrypt.key' 값을 bootstrap.yml에 설정해둔다.

서버를 재실행하여 'POST /encrypt'를 통해 암호화를 'POST /decrypt'를 통해 복호화를 진행할 수 있다.

 

데이터베이스 접근 정보 암복호화 적용

user마이크로서비스에 있던 datasource설정 정보를 password 암호화하여 config-server의 user-service.yml 파일로 옮겨놓고 user서비스에서는 config-server에서 해당정보를 복호화해서 사용하도록 한다.

 

• 적용 순서
  • 1. config-server에 encrypt.key 설정
  • 2. user서비스의 datasource정보를 config-server의 설정정보에 암호화한 데이터로 저장
  • 3. user서비스에서 설정정보를 복호화하여 가져와 database에 접근

비대칭키 - Keytool (암복호화가 서로 다른 키)

Public, Private Key 사용하는 비대칭키

 

1. keytool을 이용해 Private key생성하기

$> keytool -genkeypair -alias apiEncryptionKey -keyalg RSA -dname "CN=yunhwan Park, OU=API Development, O=gmail.com, L=Seoul, C=KR" -keypass "test1234" -keystore apiEncryptionKey.jks -storepass "test1234"

 

- Key 정보 확인하기

$> keytool -list -keystore apiEncryptionKey.jks -v
[Enter password]

- 인증서 생성하기

$> keytool -export -alias apiEncryptionKey -keystore apiEncryptionKey.jks -rfc -f
[Enter Password]

- Public Key 생성과 인증

$> keytool -import -alias trustServer -file trustServer.cer -keystore publicKey.j
ks

생성된 Private, Public, 인증서

 

2. config-server가 참조할 encrytion.key 설정

bootstrap.yml 파일에 key정보파일 지정해서 사용함

encrypt:
  #key: abcdefghijkmasdfji1235412351234
  key-store:
    location: file://${user.home}/파일디렉토리정보/apiEncryptionKey.jks
    password: test1234
    alias: apiEncryptionKey

 

3. 'POST /encrypt'로 만든 암호화 데이터를 token.secret 정보로 설정

token:
  expiration_time: 864000000
  secret: '{cipher}AQAfgwczinpwugpt/nNxeZFAOxWnH' # 암호화된 데이터

 

이제 User-service는 config-server의 해당 token.secret정보를 복호화하여 가져와서 jwt 토큰을 만들어 반환하게 되고 api-gateway서비스는 jwt 토큰을 config-server의 해당 token.secret정보를 복호화하여 jwt값이 유효한지 parsing하여 사용한다.