我们的应用程序在Tomcat上运行.在启动时,我们读取了一个预期位于服务器上某个位置的属性文件.除其他外,属性文件包含连接到数据库的详细信息.
我们的每个客户都有自己的应用实例.它由我们托管或在其设施中的服务器上运行.
我们的一个客户担心连接到数据库所需的密码将作为纯文本存储在此属性文件中.团队正在讨论使用共享密钥或公钥 - 私钥等加密文件中的密码的许多想法.但似乎没有一个好的解决方案.密钥必须在源代码中硬编码这一事实似乎是一个坏主意.
我觉得最好在他们启动tomcat的时候以某种方式提示客户端输入密码并让他们手动指定密码.
你有没有处理类似的情况?你用过什么解决方案.
谢谢.
您可能需要查看:http://wiki.apache.org/tomcat/FAQ/Password
也就是说,任何包含密码的配置文件都需要得到适当的保护.这意味着限制对文件的访问,以便只能由Tomcat进程作为root用户(或Windows上的管理员)运行的用户读取.
希望这可以帮助!