保护JAAS配置文件

Question

我正在开发一个在Windows域环境中运行的Java应用程序。为了对用户进行身份验证，我使用了JAAS中提供的Krb5LoginModule。JAAS Login Configuration File (让我们称之为jaas.conf)嵌入在应用程序jar中，jar存储在网络共享上(只读访问)。

现在，每个用户都可以将应用程序jar复制到自己的本地磁盘上，编辑jaas.conf，并设置自己的LoginModule，这将允许他充当不同的用户。

有什么方法可以防止这种情况发生吗？如何保护应用程序的安全？

Answer 1

用户密码必须由用户提供。您必须调用您自己的登录界面，用户可以在其中提供用户名和密码。为什么要将usr和pwd放入jaas.conf中？

无论如何，如果您想要锁定用户名和密码，您可以

1. 使用证书
2. 加密写入文件
3. 写入代码