我在Tomcat war应用程序中使用ESAPI加密。我想从战争之外的目录中加载ESAPI.properties文件,以便为每个环境提供不同的密钥和盐。 我还希望每个war都有一个不同的ESAPI.properties文件,这样每个应用程序都将配置个性化。 根据org.owasp.esapi.reference.DefaultSecurityConfiguration的文档,有几种方法可以实现。
1)SecurityConfiguration.setResourceDirectory(“C:\ temp \ resources”)。
2)System.getProperty(“org.owasp.esapi.resources”)
3)在System.getProperty(“user.home”)+“/. esapi”目录中
4)类路径中的第一个“.esapi”或“esapi”目录。
前3个选项将为每个tomcat强制执行一个配置。这意味着在所有已部署的战争中强制执行属性文件位置。 (第一个选项使用ClassLoader.getSystemResource - 要求路径成为类路径的一部分)
有没有办法使用Tomcat配置来完成它?
我还找到了一种覆盖ESAPI默认安全配置的方法,我可以扩展DefaultSecurityConfiguration并覆盖getResourceFile,但是ESAPI javadoc说这个方法应该“永远不会”使用 - 我不知道是什么原因造成的
package org.owasp.esapi;
public final class ESAPI{
/**
* Overrides the current security configuration with a new implementation. This is meant
* to be used as a temporary means to alter the behavior of the ESAPI and should *NEVER*
* be used in a production environment as it will affect the behavior and configuration of
* the ESAPI *GLOBALLY*.
*
* To clear an overridden Configuration, simple call this method with null for the config
* parameter.
*
* @param config
* @return
*/
public static void override( SecurityConfiguration config ) {
overrideConfig = config;
}
有什么建议吗?
答案 0 :(得分:0)
如果您想为特定实例配置tomcat,首先要考虑的是使用tomcat的setenv.sh
脚本进行设置。像
export JAVA_OPTS='$JAVA_OPTS -Dorg.owasp.esapi.resources="/path/resources"'