0

最近、Jasypt API を使用して、プロパティ ファイルのエントリを保護しました。Jasypt に従って、ENC(..) で囲まれたプロパティ ファイルのエントリを復号化するには、以下に示すように、安全なパスワード、秘密鍵を使用する必要があります (Web アプリケーションではありません)。

    encryptor.setPassword("jasypt"); // could be got from web, env variable..

もちろん、次を使用してそのようなパスワードを構成できます

    org.jasypt.encryption.pbe.config.SimplePBEConfig setPassword()

しかし、私の質問は、jar ファイルを抽出すると、サードパーティが秘密鍵を見つけることができる可能性があるということです。このような場合、どうすればセキュリティを確保できるでしょうか。

よろしくお願いします、JK

4

1 に答える 1

0

秘密鍵は、アプリケーションの外部の環境変数に格納する必要があります。

たとえば、Spring 構成ファイルでは次のようになります。

<bean id="environmentConfig" class=  
"org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig"  
p:passwordEnvName="APP_ENCRYPTION_PASSWORD" ...

ここで、OS またはアプリ サーバーの環境変数に APP_ENCRYPTION_PASSWORD を追加します。

于 2014-05-31T13:15:19.093 に答える