当前位置：首页 > news >正文

手把手：Spring Boot接入凭据管理服务完整代码 + 5个踩坑记录

news 2026/5/22 6:20:15

前言：你的数据库密码现在在哪？

如果你的 Spring Boot 项目的application.yml里有这样的配置：

spring:datasource:username:rootpassword:Db@Prod2024!

那就需要认真看这篇文章了。

静态密码写在配置文件里有多危险？

代码仓库里的历史提交记录一旦泄露，所有密码全部曝光
运维、开发共享同一份配置，知道密码的人过多
密码长期不换，一旦泄露极难感知
容器镜像中包含明文配置，Docker Hub 一旦公开即泄露

GitHub 的 Secret Scanning 每年发现超过1000万个泄露的 API Key 和密码。其中 Spring Boot 配置文件泄露占比超过 15%。

本文手把手演示如何把这些明文密码迁移到凭据管理服务，让应用启动时动态拉取，密码定期自动轮转，整个过程应用代码零改造。

一、核心概念：凭据管理服务做什么

传统方式（危险）： application.yml → 明文密码 → 直接连数据库 凭据管理方式（安全）： application.yml → 凭据ID → 凭据管理服务 → 动态密码 → 连数据库 ↑ 密码由这里统一管理 定期自动轮转 访问全程审计 密码永远不落盘

核心价值：

密码不落盘：配置文件里只有凭据ID，密码只在内存中短暂存在
自动轮转：凭据管理服务定期换密码，应用无感知
访问审计：每次拉取凭据都有日志，随时知道"谁在什么时候用了哪个密码"
最小权限：不同应用只能拉取自己的凭据，互相隔离

二、接入方案：三种集成深度选择

方案	改造量	适用场景
方案A：Starter自动注入	最小，只改yml	新项目或标准Spring Boot项目
方案B：PropertySource扩展	中等，需实现一个类	需要精细控制、兼容已有框架
方案C：Bean初始化时拉取	最大，但最灵活	复杂多数据源、遗留系统改造

本文主要演示方案A，其余方案附代码片段供参考。

三、方案A：Starter 接入（推荐，最简单）

3.1 Maven 依赖

<dependency><groupId>cn.andang</groupId><artifactId>sms-spring-boot-starter</artifactId><version>2.3.1</version></dependency>

3.2 application.yml 最小配置

# ==========================================# 凭据管理服务连接配置# ==========================================sms:server-url:https://sms.internal.company.com:8443app-id:your-app-id-here# 应用标识，在凭据管理平台注册时获取app-secret:${SMS_APP_SECRET}# 应用密钥，从环境变量获取（本身不写死）tls-verify:true# 生产环境必须开启cache-ttl:300# 凭据缓存时间（秒），0=不缓存# ==========================================# 数据库配置 - 密码字段改为凭据引用# ==========================================spring:datasource:driver-class-name:com.mysql.cj.jdbc.Driverurl:jdbc:mysql://db.internal.company.com:3306/prod_db?useSSL=trueusername:appuserpassword:${sms:credential/prod-db-password}# ← 凭据引用格式redis:host:redis.internal.company.comport:6379password:${sms:credential/prod-redis-password}# ← Redis密码也可以用# ==========================================# 第三方API Key - 同样可以用凭据管理# ==========================================third-party:payment-api-key:${sms:credential/payment-gateway-key}sms-access-key:${sms:credential/sms-service-key}

就这样，其他什么都不用改。

Starter 会自动：

在 Spring 启动时连接凭据管理服务
解析所有${sms:credential/xxx}格式的占位符
从服务端拉取实际密码，注入到对应的 Bean 中

3.3 验证接入成功

@SpringBootTestclassCredentialIntegrationTest{@AutowiredprivateDataSourcedataSource;@TestvoidtestDatabaseConnection()throwsException{// 验证数据库连接是否正常（意味着凭据拉取成功）try(Connectionconn=dataSource.getConnection()){assertTrue(conn.isValid(5));System.out.println("数据库连接成功 ✓ 凭据拉取正常");}}}

四、3个实战代码场景

场景1：多数据源配置（主库+从库）

@ConfigurationpublicclassMultiDataSourceConfig{// 主库：从凭据管理服务获取密码@Bean("primaryDataSource")@ConfigurationProperties(prefix="spring.datasource.primary")publicDataSourceprimaryDataSource(){returnDataSourceBuilder.create().build();}// 从库：从凭据管理服务获取密码@Bean("replicaDataSource")@ConfigurationProperties(prefix="spring.datasource.replica")publicDataSourcereplicaDataSource(){returnDataSourceBuilder.create().build();}}

spring:datasource:primary:url:jdbc:mysql://master-db:3306/produsername:app_masterpassword:${sms:credential/master-db-password}# 主库凭据replica:url:jdbc:mysql://slave-db:3306/produsername:app_replicapassword:${sms:credential/replica-db-password}# 从库凭据（单独管理）

场景2：凭据热更新（轮转后应用不重启）

这是凭据管理最核心的价值之一：密码轮转后，应用无需重启。

@ComponentpublicclassCredentialRefreshListener{@AutowiredprivateSmsCredentialManagercredentialManager;@AutowiredprivateHikariDataSourcedataSource;/** * 监听凭据变更事件（凭据管理服务推送） * 收到通知后，关闭旧连接池，用新密码重建 */@EventListenerpublicvoidonCredentialRotated(CredentialRotatedEventevent){if("prod-db-password".equals(event.getCredentialId())){log.info("收到数据库密码轮转通知，开始热更新连接池...");// 从凭据管理服务拉取新密码StringnewPassword=credentialManager.getCredential("prod-db-password");// 优雅关闭旧连接池（等待现有连接执行完成）dataSource.getHikariPoolMXBean().softEvictConnections();// 更新密码配置dataSource.setPassword(newPassword);log.info("连接池密码热更新完成，无停机时间 ✓");}}}

场景3：动态 API Key 获取（第三方服务集成）

@ServicepublicclassPaymentService{@AutowiredprivateSmsCredentialManagercredentialManager;publicPaymentResultprocessPayment(PaymentRequestrequest){// 每次调用前动态获取最新API Key（自动走缓存，不频繁请求凭据服务）StringapiKey=credentialManager.getCredential("payment-gateway-key");// 使用动态获取的API Key调用支付接口PaymentClientclient=PaymentClient.builder().apiKey(apiKey).build();returnclient.charge(request);}}

五、5个踩坑记录

坑1：证书校验失败，应用启动报错

报错：

javax.net.ssl.SSLHandshakeException: PKIX path building failed: unable to find valid certification path to requested target

原因：凭据管理服务使用了内部CA签发的证书，JVM的默认信任库里没有这个CA根证书。

解决：把内部CA根证书导入JVM信任库，或者在Starter配置里指定信任的CA：

sms:tls-trust-store:/opt/certs/internal-ca.jkstls-trust-store-password:changeit

或者全局导入（推荐）：

# 把内部CA证书导入JVM信任库keytool-import-trustcacerts\-keystore$JAVA_HOME/lib/security/cacerts\-storepasschangeit\-aliasinternal-ca\-file/path/to/internal-ca.crt

坑2：超时导致应用启动失败

报错：

SmsConnectionException: Connect to sms.internal.company.com:8443 failed after 5000ms BeanCreationException: Error creating bean with name 'dataSource'

原因：默认连接超时5秒，在网络较差或凭据服务刚启动时可能超时。

解决：

sms:connect-timeout:15000# 连接超时：15秒read-timeout:10000# 读取超时：10秒retry-times:3# 失败重试3次retry-interval:2000# 重试间隔：2秒

同时建议凭据管理服务做高可用部署，避免单点故障导致所有应用无法启动：

sms:server-urls:# 配置多个服务地址-https://sms-node1.internal.company.com:8443-https://sms-node2.internal.company.com:8443failover:true# 自动故障转移

坑3：测试环境 Mock 凭据

问题：单元测试不应该真的去连接凭据管理服务（速度慢、有依赖）。

解决：Starter 支持 Mock 模式：

// 测试类@SpringBootTest@TestPropertySource(properties={"sms.mock-mode=true"// 开启Mock，不真实请求凭据服务})classServiceTest{@MockBeanprivateSmsCredentialManagercredentialManager;@BeforeEachvoidsetUp(){// Mock 凭据返回值when(credentialManager.getCredential("prod-db-password")).thenReturn("test-password-for-unit-test");}@TestvoidtestBusinessLogic(){// 测试业务逻辑，不依赖真实凭据}}

或者直接在application-test.yml中配置固定值（只用于本地开发/CI环境）：

# application-test.ymlspring:datasource:password:test_db_password_only_for_ci# 测试环境不用凭据服务

坑4：容器化部署时`SMS_APP_SECRET`环境变量未注入

问题：Docker 容器内${SMS_APP_SECRET}解析为空字符串，导致认证失败。

原因：docker run时没有传入环境变量，或 Kubernetes Secret 没有正确挂载。

解决（Kubernetes方式）：

# k8s-deployment.yamlapiVersion:apps/v1kind:Deploymentspec:template:spec:containers:-name:appenv:-name:SMS_APP_SECRETvalueFrom:secretKeyRef:name:sms-credentials# K8s Secret名称key:app-secret# Secret中的key

# 创建 K8s Secretkubectl create secret generic sms-credentials\--from-literal=app-secret=your-app-secret-here

坑5：MyBatis 分页插件与连接池密码更新冲突

问题：密码热更新后，MyBatis PageHelper 插件持有的旧连接导致后续查询报认证错误。

原因：PageHelper 持有了连接池的引用，softEvictConnections()无法驱逐被 PageHelper 占用的连接。

解决：在热更新时同时触发 PageHelper 的连接释放：

@EventListenerpublicvoidonCredentialRotated(CredentialRotatedEventevent){if("prod-db-password".equals(event.getCredentialId())){// 先清空 PageHelper 的连接缓存PageHelper.clearPage();// 再执行连接池热更新dataSource.getHikariPoolMXBean().softEvictConnections();dataSource.setPassword(credentialManager.getCredential("prod-db-password"));log.info("连接池和分页插件同步更新完成 ✓");}}

六、单元测试完整写法

@ExtendWith(MockitoExtension.class)classCredentialServiceTest{@MockprivateSmsCredentialManagercredentialManager;@InjectMocksprivateDatabaseConnectionServiceconnectionService;@Test@DisplayName("正常场景：从凭据服务获取密码成功")voidtestGetCredentialSuccess(){// Givenwhen(credentialManager.getCredential("prod-db-password")).thenReturn("dynamic-password-xyz");// WhenStringpassword=connectionService.getDatabasePassword();// ThenassertThat(password).isEqualTo("dynamic-password-xyz");verify(credentialManager,times(1)).getCredential("prod-db-password");}@Test@DisplayName("异常场景：凭据服务不可用时的降级处理")voidtestCredentialServiceUnavailable(){// Given：模拟凭据服务超时when(credentialManager.getCredential(anyString())).thenThrow(newSmsConnectionException("Connection timeout"));// When & Then：应该抛出业务异常，而不是直接崩溃assertThatThrownBy(()->connectionService.getDatabasePassword()).isInstanceOf(CredentialUnavailableException.class).hasMessageContaining("无法获取数据库密码");}@Test@DisplayName("缓存场景：60秒内重复调用只拉取一次")voidtestCredentialCaching(){// Givenwhen(credentialManager.getCredential("prod-db-password")).thenReturn("cached-password");// When：连续调用5次for(inti=0;i<5;i++){connectionService.getDatabasePassword();}// Then：实际只请求了1次（其余走缓存）verify(credentialManager,times(1)).getCredential("prod-db-password");}}