我正在研究與許多外部系統API交互的系統:s。他們大多需要某種類型的認證。爲了便於使用,有一個「應用程序範圍可訪問」AppConfig,用於存儲配置信息以及外部系統的憑證。如何在應用程序配置中管理密碼
我的問題是,如果在應用程序配置文件中存儲用戶名和密碼(以明文形式)到外部系統是一個壞主意。如果是這樣,你如何避免它?
爲了訪問配置文件,您必須破壞服務器的文件系統或其他服務器上的git存儲庫(當然還有任何開發人員的系統)。我一直認爲在配置文件中加密密碼不會提高安全級別,因爲加密密鑰也必須存儲在某個地方。我錯了嗎?
我真的很感謝答案,解釋你如何解決這個問題。
解決方案
好了,這是我的最終解決方案。我使用OpenSSL創建了一個簡單的庫來加密和解密我的敏感數據。加載配置時會從用戶那裏檢索密鑰,但存儲在文件中的生產服務器除外。它仍然不是一個最佳的解決方案,但它比我以前的「解決方案」更好。
謝謝你的回答。我會接受韋恩的答案,因爲這是最豐富的。
我建議http://security.stackexchange.com/questions/15040/standards-for-encrypting-passwords-in-configuration-files是一個很好的演講的人絆倒在此線程:) – tlegutko 2016-02-02 21:33:14