声纳“证书不应被硬编码”错误

Question

在我的应用程序中，我有一个ApplicationConstants.java类，用于处理应用程序中使用的字符串常量。我把public static final String PASSWORD = "password"作为常量之一。声纳为此抛出一个错误，如下所示。如果有办法处理同样的问题，请告诉我。

声纳错误:描述受让人资源新问题凭据不应硬编码:删除此硬编码密码。EnrollmentConstant.java假

Answer 1

您应该将密码移到配置中。

Answer 2

您应该将其解压缩到属性文件中。这里你可以读到怎么做

您还可以将它作为系统属性放在应用程序服务器上，并期望它出现在生产机器(例如Wildfly服务器)上，然后使用System.getProperty(key)读取它。这会使部署变得有点复杂，但是生产密码不会出现在项目中。

如果使用Spring，可以使用@Value注释将值加载到bean。这里，您可以阅读如何做到这一点。

Answer 3

您需要将密码之外的凭据存储在加密的配置文件中，或者将database.At ( Soanr end )保存为硬编码密码/username的标志。因此，将其保存在属性文件或其他配置文件中，也不建议将密码保存在String对象中，因为安全原因，因为从编译的应用程序中提取字符串很容易。