我檢查了Jasypt用於在屬性文件中存儲數據庫加密密碼。它與春節等良好的集成性,但是這傢伙提出了加密密碼的方法看起來有點怪異,至於我:Java:在屬性文件中存儲加密數據庫(和其他)密碼的最佳選擇是什麼?
使用PBE(對稱算法)加密。
在環境變量或源代碼中存儲用於加密/解密的密碼。
這兩個選項看起來不安全並且有點不安全。
我的問題:
- 什麼是存儲加密密碼的最佳做法是什麼?
- 我可以在這裏使用基於密鑰的加密(即私鑰/公鑰)嗎?
我檢查了Jasypt用於在屬性文件中存儲數據庫加密密碼。它與春節等良好的集成性,但是這傢伙提出了加密密碼的方法看起來有點怪異,至於我:Java:在屬性文件中存儲加密數據庫(和其他)密碼的最佳選擇是什麼?
使用PBE(對稱算法)加密。
在環境變量或源代碼中存儲用於加密/解密的密碼。
這兩個選項看起來不安全並且有點不安全。
我的問題:
在我們的應用中使用兩種方法:
我們使用存儲我們所有的數據庫密碼一個企業的密碼保險箱。我們的網絡服務器每次請求保管庫密碼連接數據庫。
我們將加密的密碼存儲在屬性文件中。 在應用程序啓動過程中,我們使用類加載器讀取屬性文件,並將其保存爲系統變量並在需要時使用它。
很難用db直接進行公鑰/私鑰加密,你需要一箇中介來做到這一點。
嗨Sanket。當你說「我們的應用程序」這是否意味着你對Jasypt或Spring有特定的作用?你能否透露這個角色? –
http://security.stackexchange.com/questions/211/how-to-securely-hash-passwords salt + hash +使用公認的算法。 – assylias
@assylias密碼哈希如何幫助jdbc密碼? AFAIK我需要爲jdbc驅動程序提供未加密的密碼。 3D方服務的情況也是如此,您必須通過用戶名/密碼進行身份驗證。 – FoxyBOA
我誤解了你的問題。 – assylias