《Spring Boot配置文件大揭秘：看懂 application.yaml 与 bootstrap.yaml 的不同》

：你只管努力，剩下的交给时间

：小破站

前言

在大型软件开发中，配置文件是连接代码与部署环境的桥梁。而Spring Boot的application.yaml和bootstrap.yaml作为主要的配置文件，却常常令人困惑。在这篇博客中，我们将揭开它们的神秘面纱，带你深入了解它们的不同之处，助你在项目中更加得心应手。

第一：背景介绍

1. 背景介绍：
   Spring Boot 是一个用于简化 Spring 应用程序开发和部署的框架。它通过提供默认值和自动配置，大大减少了项目配置的工作量，使得开发者能够更专注于业务逻辑的实现。在 Spring Boot 中，配置文件是一种关键的配置机制，用于定制应用程序的行为。

2. Spring Boot配置文件的基本作用：

   • 配置应用程序属性： 通过配置文件，你可以指定应用程序的各种属性，如数据库连接、服务器端口、日志级别等。
   • 简化配置： Spring Boot 的配置文件允许你以简单的方式定义应用程序的配置，而无需进行繁琐的设置。
   • 外部化配置： 配置文件支持外部化配置，这意味着你可以在不重新编译应用程序的情况下修改配置，提高灵活性。

3. 为什么需要两个配置文件？
   Spring Boot 采用两个配置文件的机制，主要是为了实现配置的分离和阶段性加载，其中涉及到 application.properties（或 application.yml）和 bootstrap.properties（或 bootstrap.yml）。

   • application.properties（或 application.yml）：

     • 主要用于应用程序的业务逻辑配置，包括应用程序自身的配置信息，例如数据库连接、Web服务器端口等。

   • bootstrap.properties（或 bootstrap.yml）：

     • 在应用程序启动时最先加载，用于配置应用程序上下文的初始化阶段。
     • 通常用于配置一些基础设施级别的信息，例如分布式配置中心的连接信息、加密/解密属性等。

   这两个文件的分离允许开发者更精细地控制配置的加载顺序和内容。bootstrap 配置的加载顺序在 application 配置之前，确保一些基础设施配置在应用程序启动时得以优先加载，为应用程序提供必要的环境。这种设计提高了配置的清晰度和可维护性。

第二：二者对比

1. 作用和职责：

   • application.yaml：

     • 作用： 用于配置应用程序的业务逻辑，包括应用程序自身的配置信息。
     • 职责： 包含了应用程序的主要配置，涉及应用程序的行为、功能和业务逻辑。

   • bootstrap.yaml：

     • 作用： 用于配置应用程序上下文的初始化阶段，通常用于配置基础设施级别的信息。
     • 职责： 包含了一些在应用程序启动时需要最先加载的配置，例如分布式配置中心的连接信息、加密/解密属性等。

2. 加载顺序及优先级：

   • 加载顺序：

     1. bootstrap.yaml 在应用程序启动时最先加载。
     2. application.yaml 在 bootstrap.yaml 之后加载。

   • 优先级：

     • bootstrap.yaml 中的配置项在 application.yaml 中的配置项之前加载，因此具有更高的优先级。
     • 如果有相同的配置项，bootstrap.yaml 中的值会覆盖 application.yaml 中的值。

   • 示例：

     • 如果在 bootstrap.yaml 中配置了加密算法的相关信息，而在 application.yaml 中配置了数据库连接信息，那么在应用程序启动时会先加载 bootstrap.yaml 中的加密算法配置，然后再加载 application.yaml 中的数据库连接配置。

通过这种分离的设计，开发者能够更好地控制配置的加载顺序和内容，确保在应用程序启动时需要的配置信息都能正确加载，提高了配置的可维护性和清晰度。

第三：使用场景

1. application.yaml 使用场景：

   • 业务逻辑配置： 当需要配置应用程序的业务逻辑、功能、以及与业务相关的属性时，使用 application.yaml。
   • 实际案例： 配置数据库连接、Web服务器端口、日志级别等。

2. bootstrap.yaml 使用场景：

   • 基础设施配置： 当需要配置应用程序的基础设施级别的信息，尤其是在应用程序启动阶段的初始化配置时，使用 bootstrap.yaml。
   • 实际案例： 配置分布式配置中心的连接信息、加密/解密属性、Spring Cloud 配置等。

3. 场景对比：

   • 业务逻辑配置（application.yaml）：

     • 示例： 配置数据库连接信息

     spring:
       datasource:
         url: jdbc:mysql://localhost:3306/mydatabase
         username: myuser
         password: mypassword
     

   • 基础设施配置（bootstrap.yaml）：

     • 示例： 配置分布式配置中心连接信息

     spring:
       cloud:
         config:
           uri: http://config-server:8888
     

4. 实际案例分析：

   • 场景： 在一个微服务架构中，多个微服务需要连接到分布式配置中心获取配置信息。
   • 应用： 在 bootstrap.yaml 中配置所有微服务的连接信息，以确保在应用程序启动时，所有微服务能够正确连接到配置中心，获取所需的配置信息。
   • 效果： 这样的设计保证了配置中心的连接信息优先于业务逻辑配置加载，确保微服务在启动时能够获得正确的配置，提高系统的可靠性和稳定性。

总体而言，根据配置的性质和加载的时机，选择使用 application.yaml 或 bootstrap.yaml，可以更好地组织和管理配置，确保应用程序在各种环境中都能正确加载和运行。

第四：属性配置与继承

在Spring Boot的配置中，可以在两个文件中配置属性，即application.yaml和bootstrap.yaml。属性的继承关系和覆盖规则主要涉及到加载顺序和优先级。

配置属性的继承关系：

1. application.yaml 中的属性：

   • 包含应用程序的业务逻辑配置。
   • 属性通常与应用程序的功能和行为直接相关。

2. bootstrap.yaml 中的属性：

   • 包含应用程序启动时的基础设施级别配置。
   • 通常用于配置连接到分布式配置中心的信息、加密/解密属性等。

属性加载顺序和覆盖规则：

1. 加载顺序：

   • bootstrap.yaml 在应用程序启动时最先加载。
   • application.yaml 在 bootstrap.yaml 之后加载。

2. 优先级：

   • bootstrap.yaml 中的属性具有更高的优先级，会覆盖相同名称的属性。
   • 如果有相同的配置项，bootstrap.yaml 中的值会覆盖 application.yaml 中的值。

示例：

假设在 bootstrap.yaml 中配置了连接到分布式配置中心的信息：

# bootstrap.yaml

spring:
  cloud:
    config:
      uri: http://config-server:8888

然后在 application.yaml 中配置了数据库连接信息：

# application.yaml

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/mydatabase
    username: myuser
    password: mypassword

在这个例子中，bootstrap.yaml 中的 spring.cloud.config.uri 配置会在应用程序启动时最先加载，而 application.yaml 中的数据库连接配置会在其后加载。如果有相同的属性（例如，两者都配置了 spring.datasource.url），bootstrap.yaml 中的值会覆盖 application.yaml 中的值。

这种加载顺序和覆盖规则确保了基础设施级别的配置能够在应用程序启动时优先生效，而业务逻辑配置则在其后加载，提高了配置的灵活性和可维护性。

第五：安全性考虑

确保配置的安全性是应用程序开发中至关重要的一部分，特别是涉及到敏感信息时。以下是一些关于处理敏感信息和确保配置安全性的最佳实践：

1. 使用加密：

   • 对于包含敏感信息的配置项，例如密码、API密钥等，可以考虑使用加密来保护这些信息。
   • Spring Boot 提供了加密和解密属性的功能，可以使用 jasypt 等工具进行配置属性的加密。

2. 外部化配置：

   • 尽量避免在代码中硬编码敏感信息。将敏感信息外部化到配置文件中，以便在需要时进行更安全的管理。
   • 在外部化配置时，使用环境变量、密钥管理服务或专门的配置中心来存储和管理敏感信息。

3. 使用安全的配置中心：

   • 如果应用程序需要集中管理配置，可以考虑使用安全的配置中心，例如 Spring Cloud Config Server，并采用适当的身份验证和授权机制来保护敏感配置。

4. 限制配置文件的访问权限：

   • 确保配置文件的访问权限受到限制，只有授权的人员可以访问其中的敏感信息。
   • 在部署环境中，设置文件权限和访问控制以确保只有授权的用户或进程可以读取配置文件。

5. 使用环境变量：

   • 在容器化环境中，使用环境变量而不是直接在配置文件中存储敏感信息。容器管理工具（如Docker和Kubernetes）提供了一种更安全的方式来管理环境变量。

6. 监控和审计：

   • 部署适当的监控和审计机制，以便及时发现潜在的安全问题。记录配置文件的访问和修改操作，以进行安全审计。

7. 定期轮换凭据：

   • 对于密码、密钥等凭据，实施定期的轮换策略，以降低潜在的安全威胁。

8. 审查和合规性：

   • 进行定期的安全审查，确保配置的安全性符合组织的安全标准和合规性要求。

通过采取这些安全性措施，可以有效地保护应用程序配置中的敏感信息，降低潜在的风险，并提高系统的整体安全性。