Spray.io日志泄漏敏感信息

Question

我正在使用喷雾客户端来使用第三方API。不幸的是，我使用的API并不十分安全，并且使用了使用GET查询参数的身份验证方法。有时，我们得到超时或连接问题，我们知道如何处理应用程序。问题是，喷雾记录在警告日志级别，URL包括敏感查询参数()正在我们的日志文件中写入。

下面是日志文件的一个示例。

2015-05-19 12:23:17,024 WARN HttpHostConnectionSlot - Connection attempt to 10.10.10.10:443 failed in response to GET request to /api/?type=keygen&user=test_user&password=S3kret! with 2 retries left, retrying...
2015-05-19 12:23:17,084 WARN HttpHostConnectionSlot - Connection attempt to 10.10.10.10:443 failed in response to GET request to /api/?type=keygen&user=test_user&password=S3kret! with 1 retries left, retrying...

有办法过滤这个吗？(也许在阿克卡？)

Answer 1

喷雾重用阿克卡伐木来做所有的日志基础工作。

在akka中，可以在应用程序配置中重新声明自定义事件记录器：

akka {
  # event-handlers = ["akka.event.Logging$DefaultLogger"] // default one
  event-handlers = ["com.example.PrivacyLogger"] // custom one
  # Options: ERROR, WARNING, INFO, DEBUG
  loglevel = "DEBUG"
}

看起来可能是这样的：

  class PrivacyLogger extends DefaultLogger {
    override def receive: Receive = {
      case InitializeLogger(_) ⇒ sender() ! LoggerInitialized
      case event: LogEvent     ⇒ print(stripSecret(event))
    }
    private def stripSecret(event:LogEvent) = ...
  }

但是，您可以在这里实现自己的消息处理逻辑，而不是简单的打印。

PS。如果您使用slf4j进行日志记录，那么解决方案的外观将大致相同，但是有一些细微的差异，比如覆盖akka.event.slf4j.Slf4jEventHandler而不是DefaultLogger。