Tomcat中的ESAPI属性文件

时间:2013-01-30 16:17:38

标签: tomcat esapi

我在Tomcat war应用程序中使用ESAPI加密。我想从战争之外的目录中加载ESAPI.properties文件,以便为每个环境提供不同的密钥和盐。 我还希望每个war都有一个不同的ESAPI.properties文件,这样每个应用程序都将配置个性化。 根据org.owasp.esapi.reference.DefaultSecurityConfiguration的文档,有几种方法可以实现。

1)SecurityConfiguration.setResourceDirectory(“C:\ temp \ resources”)。

2)System.getProperty(“org.owasp.esapi.resources”)

3)在System.getProperty(“user.home”)+“/. esapi”目录中

4)类路径中的第一个“.esapi”或“esapi”目录。

前3个选项将为每个tomcat强制执行一个配置。这意味着在所有已部署的战争中强制执行属性文件位置。 (第一个选项使用ClassLoader.getSystemResource - 要求路径成为类路径的一部分)

有没有办法使用Tomcat配置来完成它?

我还找到了一种覆盖ESAPI默认安全配置的方法,我可以扩展DefaultSecurityConfiguration并覆盖getResourceFile,但是ESAPI javadoc说这个方法应该“永远不会”使用 - 我不知道是什么原因造成的

 package org.owasp.esapi;
 public final class ESAPI{   
 /**
 * Overrides the current security configuration with a new implementation. This is meant
 * to be used as a temporary means to alter the behavior of the ESAPI and should *NEVER*
 * be used in a production environment as it will affect the behavior and configuration of
 * the ESAPI *GLOBALLY*.
 *
 * To clear an overridden Configuration, simple call this method with null for the config
 * parameter.
 *
 * @param config
 * @return
 */
public static void override( SecurityConfiguration config ) {
    overrideConfig = config;
}

有什么建议吗?

1 个答案:

答案 0 :(得分:0)

如果您想为特定实例配置tomcat,首先要考虑的是使用tomcat的setenv.sh脚本进行设置。像

这样的东西
export JAVA_OPTS='$JAVA_OPTS -Dorg.owasp.esapi.resources="/path/resources"'