所以,这是我拍摄的场景。是否有可能从无签名的java代码访问密钥库中的密钥?
我有一个应用程序服务器。在该应用程序服务器上是受密码保护的密钥库文件。密钥库文件内部是一个私钥,必须通过编程方式从已部署的战争文件中访问。
我不想在我的代码中存储密码。
战争文件是建立在一个单独的开发机器上。在构建时,提供一个开发人员私钥,签署战争文件。
说开发者的公共证书已被导入到应用程序服务器的密钥库信任证书中。
从代码中,我希望能够加载密钥库并检索私钥,而不必为密钥提供密码。我希望让由可信证书签名的代码具有足够的身份验证能够成功检索密钥。
如果恶意用户访问应用程序服务器,他们将无法修改签名代码,因为这会破坏签名。他们也不能部署他们自己的代码,因为他们没有可信的私钥。最后,他们将无法将自己的证书作为可信证书导入密钥库,因为他们没有密钥库密码。
这可能吗?如果不是,那为什么不呢?
我没有得到你的问题,但是这似乎涉及: [链接](http://stackoverflow.com/questions/4926290/java-keystore-and-password-settings) 很抱歉,如果我错了这里。 – Sid 2011-05-17 22:11:29
从我的评论中收集到的另一个解决方案是将JNDI与您的应用服务器结合使用。因此,您不必在代码中保存密码。 – Sid 2011-05-17 22:15:14