如何存储Java密钥库密码?
在我的web应用程序中,我访问存储在Java密钥库中的私钥。我想知道存储密钥库和私钥密码的最佳/推荐方法是什么 我考虑过使用属性文件,但在生产环境中使用它似乎不太安全(将密码存储在纯文本文件中)。另外,在我的代码中硬编码密码不是我愿意接受的选项如何存储Java密钥库密码?,java,keystore,private-key,Java,Keystore,Private Key,在我的web应用程序中,我访问存储在Java密钥库中的私钥。我想知道存储密钥库和私钥密码的最佳/推荐方法是什么 我考虑过使用属性文件,但在生产环境中使用它似乎不太安全(将密码存储在纯文本文件中)。另外,在我的代码中硬编码密码不是我愿意接受的选项 谢谢。您可以使用您提到的属性文件,只需对密码进行哈希运算以获得额外的安全性。这就解决了必须以明文形式保存密码的问题。然后,您可以使用MD5或SHA1密码对其进行散列,这是个人选择 这是一个棘手的引导问题。一些选择: 让你的应用程序提示用户解锁密钥库(不
谢谢。您可以使用您提到的属性文件,只需对密码进行哈希运算以获得额外的安全性。这就解决了必须以明文形式保存密码的问题。然后,您可以使用MD5或SHA1密码对其进行散列,这是个人选择 这是一个棘手的引导问题。一些选择:
- 让你的应用程序提示用户解锁密钥库(不是很友好,但可能)
- 将密码存储在所有者只读文件(0400)中,并使用该文件解锁密钥库。攻击者必须侵入您的服务器才能读取文件。这似乎是应用最广泛的技术
- 使用HSM
- 使用Hashicorp Vault之类的东西(但它也存在引导问题)