我谨代表社区，宣布两个新的 Spring Vault milestones：1.1.0 M1 和 2.0.0 M2。1.1.0 M1 版本完成了 24 个 ticket，2.0.0 M2 版本解决了 7 个 ticket，它们都可以在 milestone 存储库中找到。

自上一个版本以来，这些功能已包含在当前 milestones 中

• 使用 AWS IAM 进行 Vault 登录

• 基于租期时间旋转通用密钥

• 引入 VaultEndpointProvider 以动态配置端点

此外，2.0.0 M2 还包含

• 用于声明认证流程的 Authentication DSL

• 基于 Spring Framework 5 WebClient 和 Project Reactor 的响应式支持

• 通过添加 @NonNullApi 和 @Nullable 注释来增强工具支持，以便您喜欢的 IDE 可以识别

身份验证 DSL

身份验证步骤提供了常见身份验证活动的重用性。通过 AuthenticationSteps 创建的步骤以函数式风格描述身份验证流程，将实际的身份验证执行留给特定的执行器。

// Static token use
AuthenticationSteps.just(VaultToken.of(…));

// AppRole authentication
AuthenticationSteps.fromSupplier(

    // Construct login body
    () -> Collections.singletonMap("role_id", options.getRoleId()))

    // post the payload to Vault to log in
    .login("auth/{mount}/login", options.getPath());

身份验证流程需要一个执行器来执行实际的登录。我们根据支持的执行模型提供了两个执行器：

• AuthenticationStepsExecutor 作为同步 ClientAuthentication 的直接替代品。

• AuthenticationStepsOperator 用于响应式执行。

ClientAuthentication 带有静态工厂方法，用于为其特定于身份验证的选项创建 AuthenticationSteps。

CubbyholeAuthenticationOptions options = …
RestOperations restOperations = …

AuthenticationSteps steps = CubbyholeAuthentication.createAuthenticationSteps(options);

AuthenticationStepsExecutor executor = new AuthenticationStepsExecutor(steps, restOperations);

VaultToken token = executor.login();

身份验证 DSL 是响应式 Vault 客户端的前提条件，用于将身份验证步骤与其实际执行分离。

响应式 Vault 客户端

Spring Vault 的响应式客户端支持构建在身份验证 DSL 和 Spring Framework 5 的 WebClient 之上。响应式支持通过 ReactiveVaultTemplate 覆盖读/写/列表和删除操作，并提供用于会话管理的缓存 VaultToken 供应商。您可以使用几乎所有身份验证机制来获取 Vault 令牌。以下机制实现了 AuthenticationStepsFactory 并提供非阻塞登录的 AuthenticationSteps：

• AppId

• AppRole

• AWS-EC2

• 客户端证书

• Cubbyhole

• 静态令牌

创建一个配置类以开始使用响应式支持。

public class Foo extends AbstractReactiveVaultConfiguration {

	@Override
	public VaultEndpoint vaultEndpoint() {
		return VaultEndpoint.from(URI.create("https://:8200"));
	}

	@Override
	public ClientAuthentication clientAuthentication() {
		return new AwsEc2Authentication(restOperations());
	}
}

AbstractReactiveVaultConfiguration 的配置支持将实现 AuthenticationStepsFactory 的身份验证适配为响应式身份验证方法，并配置命令式和响应式客户端。这两个客户端之间不共享会话，但这是未来的任务。您可以独立使用 ReactiveVaultTemplate。

reactiveVaultTemplate.write("secret/mykey", Collections.singletonMap("hello", "world"))
		.thenMany(vaultOperations.list("secret"))
		.subscribe(item -> System.out.println(item));

或者在响应式运行时基础设施（如 Spring WebFlux）中使用。

@RestController
public class SecretsController {

  private final ReactiveVaultOperations operations;

  // Constructor omitted for brevity

  @GetMapping("secrets")
  Flux<List> listSecrets() {
    return vaultOperations.list("secret");
  }
}

贡献

没有社区的参与，我们就无法取得今天的成功。我想感谢所有创建问题和提供反馈的人。

有关更改的完整列表，请参阅 1.1.0 M1 和 2.0.0 M2 的变更日志。

项目主页 | GitHub | 问题 | 1.1.0 M1 文档 | 2.0.0 M2 文档 | Stack Overflow