私たちはリアルタイムサーバーでホストされているウェブサイトを持っています.swingアプリケーションを開発し、それを介してウェブサイトのリモートデータベースに接続しています.このアプリケーションは、picassaソフトウェアのようなシステムからウェブサイトにファイルをアップロードする機能も提供します.他の人がダウンロードして使用できるように、このアプリケーションを当社の Web サイトに配置する予定です。
私がそうしたい場合、他の人が私の .exe ファイルを jar ファイルに抽出する可能性があります。プロパティ ファイルが表示され、データベースと ftp クライアントのパスワードを取得できる可能性があります。
picassa のようなソフトウェアがパスワードを私たちからどのように保護しているか。先に進むために、これらの質問についてアイデアをお寄せください。
前もって感謝します 、
リモート データベースを使用する Web サイトには、Web コンテンツを提供するアプリケーション サーバーがありますか? そうでない場合、データベースは何のためのものですか?
その場合、Swing アプリケーションが通信するREST サービスまたはWeb サービスを作成して、すべてのデータベース接続が Swing アプリケーションからデータベースに直接ではなく、アプリケーション サーバーからデータベースに行われるようにする必要があります。これには複数の利点があります。既に概説したセキュリティとは別に、Swing アプリケーションとデータベースの間よりもアプリケーション サーバーとデータベースの間のレイテンシがはるかに短くなります。さらに、ビジネス ロジックをサーバー上でカプセル化し、Web アプリケーションからコードを再利用して、Swing アプリケーションから抽出する機会を提供します。
もちろん、サービス自体を保護する必要があります。これを行うには、 Spring Securityなどのユーザー認証システムを使用して、特定のユーザーのみがサービスにアクセスできるようにします。これは通常、一時的なセッション トークンを確立するログイン API の形式をとり、サービスへの後続のすべての要求は、そのトークンをヘッダー (SOAP ヘッダー、HTTP ヘッダーなど) でサービスに提供します。
FTP 要件については、サービス側でもこれを行うことができますが、FTP サイトにアップロードするためだけに、潜在的に大きなファイルをサーバーに転送することになります。または、可能であれば、ユーザーごとに異なるユーザー名とパスワードを設定し、資格情報を入力してからコンテンツを FTP 送信することもできます。その場合、共有 FTP パスワードはなく、それを公開することを心配する必要はありません。