此版本仍在开发中，尚不被认为是稳定的。对于最新的稳定版本，请使用 Spring Vault 3.2.0！spring-doc.cadn.net.cn

Spring Security

Spring Vault 通过提供BytesKeyGenerator和BytesEncryptor.两种实现都使用 Vault 的transit后端。spring-doc.cadn.net.cn

示例 1.VaultBytesKeyGenerator示例

VaultOperations operations = …;
VaultBytesKeyGenerator generator = new VaultBytesKeyGenerator(operations);

byte[] key = generator.generateKey();

示例 2.VaultBytesEncryptor示例

VaultTransitOperations transit = …;

VaultBytesEncryptor encryptor = new VaultBytesEncryptor(transit, "my-key-name");

byte[] ciphertext = encryptor.encrypt(plaintext);

byte[] result = encryptor.decrypt(ciphertext);

Vault 封装了一个熵源，该熵源与服务器端密钥管理一起与 JVM 解耦。这减轻了应用程序开发人员正确加密/解密的负担，并将负担推给了 Vault 的运营商。Vault 的运营商通常包括组织中的安全团队，这意味着他们可以确保数据被正确加密/解密。此外，由于加密/解密作必须输入审计日志，因此会记录任何解密事件。spring-doc.cadn.net.cn

后端还支持密钥轮换，这允许生成命名密钥的新版本。所有使用密钥加密的数据都将使用最新版本的密钥;以前加密的数据可以使用旧版本的密钥进行解密。管理员可以控制哪些以前版本的密钥可用于解密，以防止攻击者获得密文的旧副本以成功解密它。spring-doc.cadn.net.cn

Vault 毕竟是一个网络服务，每次作都会产生延迟。大量使用加密或随机字节生成的组件可能会遇到吞吐量和性能的差异。spring-doc.cadn.net.cn