标签: security jvm
我们开发了一个Java Web应用程序。 其中一个应用程序是使用用户提供的凭据与其他Web服务(如Google日历)进行通信。
我们不确定保护此凭据的方法。 目前,我们正在加密密码并将加密输出保存在数据库中。
加密密钥存储在Java KeyStore中。 KeyStore密码作为系统属性传递给JVM。 这是链的薄弱环节 - 加载脚本中提供了KS密码。
那里有最佳实践可以完全解决这个问题吗?
答案 0 :(得分:0)
甚至不要尝试保存用户的凭据。使用oAuth为每个用户验证应用,例如解释here。