如何確保您的密碼屬性文件中的密碼? 加密/編碼?如何在軟件開發中保護密碼?
或者您是否使用不同的方法來處理連接字符串的數據庫用戶/密碼?
感謝您的幫助!
更新:感謝您的回覆!在這個特殊情況下,我們討論兩層架構。我們有許多客戶直接連接到數據庫。屬性文件位於網絡共享上。
如何確保您的密碼屬性文件中的密碼? 加密/編碼?如何在軟件開發中保護密碼?
或者您是否使用不同的方法來處理連接字符串的數據庫用戶/密碼?
感謝您的幫助!
更新:感謝您的回覆!在這個特殊情況下,我們討論兩層架構。我們有許多客戶直接連接到數據庫。屬性文件位於網絡共享上。
你可能會仔細看看aspnet_regiis。這個commandLine程序有一些非常好的參數,例如aus -pef(encrypt)和-pdf(decrypt)。
因此,您可以加密您的完整(或只是一個端口)xxx.config文件,而它仍然可用於您的應用程序。
對於連接數據庫字符串,我主要使用jndi連接。在那裏我可以加密密碼:http://tomcat.apache.org/tomcat-6.0-doc/realm-howto.html#Digested_Passwords
我認爲,對於通常的三層Web應用程序,數據庫用戶名和密碼的保密性不是您所關心的太多,因爲您可以控制網絡安全。以MongoDB爲例,密碼是可選的,並且不受所有配置的支持。您需要將數據庫服務器設置爲只接受來自您自己的應用程序服務器的連接。
你有多個帳戶(與相關的權限)主要是爲了保護自己免受事故的影響,而不是真正讓不同的人分開。
最終用戶無法直接連接到數據庫。
因此,保持連接證書在服務器上的未加密屬性文件是好的。如果有人到達服務器,無論如何你已經陷入困境。
儘管如此,最好將此文件保存在源代碼庫之外。
我通過加密連接字符串來做到這一點。
這可以通過創建一個單獨的應用程序來加密連接字符串來實現。 並使用嵌入在應用程序本身中的解密代碼。