我想要你的意见。我正在开发一个Servlet,必须签署它发送到端点的请求。
为了避免从文件读取服务器的密钥库,加载它并获取私钥,我在实现ServletContextListener的监听器中完成所有这些操作。这样,只有初始化(部署)servlet时才会这样做。
获得私钥后,我将其存储在应用程序的ServletContext中。你认为这是一个很好的设计决定吗?
提前致谢。
答案 0 :(得分:1)
无论您选择哪种解决方案,您都会在内存中拥有私钥。因此,任何有权访问内存的黑客都可以找到获取此私钥的方法。加载一次并在启动时将其存储在内存中对我来说是一个很好的解决方案。只需确保恶意用户无法轻易访问服务器。