如何在Go中使用Vault保密儲存？

在現代應用程式中，敏感資料的保密性非常關鍵，例如API金鑰、資料庫密碼等等。為了確保安全性，這些敏感資料必須儲存在安全儲存中，並且只能被經過授權的使用者存取。 Vault是一款由HashiCorp開發的開源工具，具有安全儲存和動態存取控制等功能，是實現儲存敏感資訊的最佳選擇。

本文將討論如何在Go中使用Vault保密存儲，存取Vault API，並利用Vault提供安全性和便利性來管理應用程式的敏感資訊。

1. 安裝Vault

首先需要安裝Vault並啟動Vault伺服器。可以去Vault官網下載適合你作業系統的二進位。在安裝之前，確認已經安裝了Consul或etcd等後端儲存。接下來，啟動Vault應用程序，可以使用以下的命令：

$ vault server -dev

這將啟動Vault伺服器，並且啟用開發/測試模式。在開發/測試模式下，Vault伺服器儲存在記憶體中，且未加密，僅用於開發測試目的。在生產環境中，您需要使用安全的配置來啟動Vault伺服器和後端儲存。

2. 配置Vault

一旦Vault伺服器啟動，我們需要建立一個Vault配置，用於儲存敏感資訊。首先，需要創建一個新的秘密引擎。

$ vault secrets enable -path=secret kv

這將在Vault伺服器上建立一個名為「secret」的秘密引擎，並將其類型設為「kv」。可以使用vault secrets list查看Vault伺服器上的所有秘密引擎。

接下來，需要將敏感資料儲存到Vault金鑰儲存空間。在本例中，我們將儲存JWT（JSON Web Token）的簽章金鑰。可以使用vault kv put指令將資料儲存到Vault金鑰儲存空間，如下所示：

$ vault kv put secret/jwt secretkey=shhhnotsosecret

以上指令將儲存一個名為「jwt」的鍵/值對，並使用“secretkey”鍵將“shhhnotsosecret”值儲存在節中。

3. 在Go中使用Vault

現在已經配置了Vault，接下來我們需要在Go中使用Vault API讀取敏感資訊。

首先需要安裝Vault客戶端API。可以使用以下指令來安裝Vault客戶端API。

$ go get github.com/hashicorp/vault/api

接下來，需要建立一個新的Vault客戶端。可以使用下列指令建立Vault客戶端：

import (
    "github.com/hashicorp/vault/api"
)

config := api.DefaultConfig()
config.Address = "http://127.0.0.1:8200"
client, err := api.NewClient(config)

if err != nil {
    // handle error
}

以上程式碼將建立一個新的Vault客戶端，並將其配置為與執行在本機上的Vault伺服器通訊。

接下來，需要從Vault儲存區讀取金鑰。可使用下列程式碼從Vault儲存區取得金鑰：

secret, err := client.Logical().Read("secret/data/jwt")

if err != nil {
    // handle error
}

以上程式碼將從Vault JWT金鑰的鍵/值對讀取資料。如果讀取成功，則傳回一個包含資料的map[string]interface{}物件。

最後，我們可以使用以下程式碼從Vault的金鑰儲存區取得金鑰：

key := secret.Data["data"].(map[string]interface{})["secretkey"].(string)

以上程式碼將從Vault JWT金鑰中取得簽章密碼。

4. 總結

Vault是一款開源工具，具有安全儲存和動態存取控制等功能，是實現儲存敏感資訊的最佳選擇。在Go中使用Vault保密儲存非常容易。只需要安裝Vault伺服器、設定Vault伺服器和建立Vault客戶端就可以管理Vault中的敏感資料。透過這種方式，可以確保敏感資料得到保護，並且只有經過授權的使用者才能存取它。

以上是如何在Go中使用Vault保密儲存？的詳細內容。更多資訊請關注PHP中文網其他相關文章！