最近我通过Jasypt API来保护属性文件条目。根据Jasypt,为了解密ENC(..)附带的属性文件中的条目,我们需要使用安全密码,一个密钥,如下所示(不是Web应用程序):
encryptor.setPassword("jasypt"); // could be got from web, env variable..
当然我们可以使用
配置这样的密码 org.jasypt.encryption.pbe.config.SimplePBEConfig setPassword()
但我的问题是,如果我们提取jar文件,第三方就能找到密钥。在这种情况下我们如何确保安全?
提前致谢, JK
答案 0 :(得分:0)
密钥应存储在应用程序外的环境变量中。
例如,在spring配置文件中:
<bean id="environmentConfig" class=
"org.jasypt.encryption.pbe.config.EnvironmentStringPBEConfig"
p:passwordEnvName="APP_ENCRYPTION_PASSWORD" ...
现在,在OS或app服务器的env变量中添加APP_ENCRYPTION_PASSWORD。