从Flat Java外部化凭据

Question

我有一个平面java文件，它正在查询两个数据库，并且当前具有硬编码的凭据。我们的计划是将其转换为spring batch，但同时我希望在外部的config/properties文件中对它们进行加密并调用它们。我正在寻找任何具体的例子，最佳实践/解决方案。我很感谢你的时间和努力。谢谢!

Answer 1

如果您决定对凭据进行加密，那么就会遇到安全存储加密密钥的问题。你可以做的最好的事情就是根本不存储它，并且在你的应用程序启动时需要手动给出它。您的应用程序应该使用该密钥来解密凭据，连接到任何服务。最后，它必须在使用后丢弃密钥和凭据，以防止从内存中获取它们。

如果在应用程序启动期间手动干预是不可接受的，那么典型的解决方案是将密钥存储在加密分区上具有适当限制权限的文件中，但如果系统受到攻击，例如攻击者以某种方式获得了根权限或应用程序的权限，他将能够恢复数据库凭据。