1
我们开发了一个Java Web应用程序。 其中一项应用功能是使用用户提供的凭证与其他网络服务(如Google日历)进行通信。将受保护的数据存储在Java应用程序中
我们不确定保护此凭据的方式。 目前我们正在加密密码并将加密输出保存在数据库中。
加密密钥存储在Java KeyStore中。 KeyStore密码正在作为系统属性传递给JVM。 这是链条的薄弱环节 - KS密码在加载脚本中可用。
那里有最佳实践,可以完全解决这个问题吗?
只要您知道您的Web服务器是安全的并位于防火墙之后,我就不会看到任何问题。这对于两层应用程序当然是个问题。 – 2011-05-24 11:05:23
我正试图找到一个更好的解决方案,不会将凭据暴露给有权访问服务器FS的人员。 – 2011-05-24 11:22:43