如何在Java中安全地存储加密密钥?[已关闭]
2022-09-02 04:25:54
我有一个java属性对象,其中包含Web服务的身份验证信息。我需要加密该数据,但我不知道我需要在哪里存储加密密钥以保持安全。
加密此数据并以安全方式检索数据的最佳做法是什么?
使用密钥库有什么好处吗?
ws_user=username
ws_password=password
ws_url=https://www.whatever.com/myservice
答案 1
您的问题是一个常见的问题。在 linux 中,用户密码存储在纯文本文件中。虽然只存储密码哈希,但如果攻击者可以访问该文件,他不会花很长时间使用离线字典攻击发现一些密码。在这种情况下,操作系统依靠文件权限来拒绝未经授权的用户访问。在您的情况下,它没有太大区别。您必须正确配置密码文件权限,并确保服务器的物理安全性。
答案 2
底线是某个地方需要以未加密的形式拥有“链根”密码。受操作系统保护的本地文件、受操作系统保护的远程文件、在源中硬编码等。
解决这个问题的唯一方法是要求人类在应用程序启动时键入初始密码,这对于需要自动启动的应用程序来说显然是不可能的。
推荐
-
如何使用Java中的RESTful Web服务获取远程/客户端IP地址? 我已经在我的项目中编写了Rest Web服务。Web服务调用可能来自不同 machine.so 我需要通过REST Web服务找出IP地址。 从这个请求.getRemoteAddr()使用这个。 但是我不能使用getRemoteAddr()。因为我的请
-
从包含大量文件的zip文件中提取1文件的最快方法是什么? 我尝试了但它们也缺少一些东西。 LZMA SDK不提供一种如何使用的文档/教程,这非常令人沮丧。没有 javadoc。 虽然7z jbinding没有提供一种简单的方法来只提取1个文件,但是,它只提供了提取zip文件
-
输入/输出流在销毁时是否关闭? Java 中的 InputStreams 和 OutputStreams 是否在销毁时关闭()?我完全理解这可能是不好的形式(特别是在C和C++世界中),但我很好奇。 另外,假设我有以下代码: 无名的FileInputStream是否在p.load
-
Java 程序中的字符串大小是否有任何限制? 我有一个字符串定义为 字符串 xx 我可以分配的字符数是否有任何限制? 2) 我正在将用户输入分配给此字符串 xx。70%的人只说一个字。有时他们给出一个大句子,所以想知道可
-
标签
推荐