我们的应用程序在Tomcat上运行。在启动时,我们读取了一个预期位于服务器上某个位置的属性文件。除其他外,属性文件包含连接到数据库的详细信息。
我们的每个客户都有自己的应用实例。它由我们托管或在其设施中的服务器上运行。
我们的一位客户担心连接到数据库所需的密码将作为纯文本存储在此属性文件中。团队正在讨论使用共享密钥或公钥 - 私钥等加密文件中的密码的许多想法。但似乎没有一个好的解决方案。一个密钥必须在源代码中硬编码的事实似乎是一个坏主意。
我觉得最好在客户端启动tomcat时以某种方式提示输入密码并让他们手动指定密码。
您是否处理过类似的情况?您使用了哪些解决方案。
感谢。
答案 0 :(得分:5)
您可能需要查看:http://wiki.apache.org/tomcat/FAQ/Password
也就是说,任何包含密码的配置文件都需要得到适当的保护。这意味着限制对文件的访问,以便只能由Tomcat进程作为root用户(或Windows上的管理员)运行的用户读取。
希望这有帮助!