java - How Can I Securely Store a SecretKey?

Question

I'm building a basic webapp that takes in a user input and returns an encrypted password.

Problem is, currently the SecretKey I am using is stored in the src for the Java class. To me, it seems this is risky practice so I'm trying to find a way to safely store my SecretKey.

Doing some research, I found the Java KeyStore class but I'm not entirely sure if this is what I need. Also, if this is what I need, can you guys point me in the direction of how to implement it, and more importantly, how it works?

Thanks

Edit: From doing a lot of thinking/reading it seems like there really isn't a great solution and really a solution isn't needed so long as your main server is secure, which mine will be, so it's not an issue.

Thank you for all the replies! :)

Answer 1

システムがこの問題を回避できるように、パスワードは一方向ハッシュ関数を使用して保存する必要があります。https://www.owasp.org/index.php/Password_Storage_Cheat_Sheetを参照してください

Answer 2

暗号化キーについて話している場合、そのキーを安全に JavaScript に保存する安全な方法はありません。あなたが話しているストレージはブラウザのローカルストレージであり、ブラウザ側の永続的なCookieに過ぎないと思います。Chrome の WebInspector または Firefox Firebug を使用する人は誰でも、アクセスしているページのこのストアを簡単に読み取ることができます。さらに、JavaScript によってこのストアに保存する必要があり、誰もがブラウザーでソース コードを読み取ることができるため、さらに明白です。

そのようなことを安全に行う唯一の可能性は、たとえば PHP のようなサーバーサイドです。インタラクティブな動作が必要な場合は、クライアント側で AJAX を使用してバックエンドとやり取りすることができます。

編集: ああ、バックエンドで Java について話しているので、間違っていると思いますか? はいの場合、コンパイルされたソースにハードコードされたキーがある場合、問題はないと思いますか??? それを別の場所に保存したいが、誰かがそれを使用するのではないかと心配している場合は、キー生成に使用する前に、アプリケーションでソルトしてハッシュすることができます (もちろん、ソルトはハードコードされています)。