есть способ скрыть/зашифровать пароль в файле конфигурации xml spring? Я читал, что это возможно с помощью "пользовательского" подкласса DataSource, но решения сохраняют ключ в том же файле конфигурации, что и обычный текст... так что это бесполезно.
Есть ли способ использовать KeyStore для этого? Например, прочитайте значение из хранилища ключей.
Спасибо всем.
Да, вы можете это сделать. Вам понадобится создать оболочку bean вокруг класса источника данных. Вот пример того, как я это делал раньше. Надеюсь, это поможет!
<beans>
<bean id="someDao" class="com.dao.SomeDAOImpl">
<property name="datasource">
<ref local="secureDataSource"/>
</property>
</bean>
<bean id="secureDataSource" class="com.ds.SecureDataSource">
<property name="driverClassName">
<value><your driver></value>
</property>
<property name="url">
<value><your url></value>
</property>
<property name="username">
<value><your user id></value>
</property>
<property name="password">
<value><encrypted_pwd></value>
</property>
</bean>
</beans>
Затем внутри класса SecureDataSource вам нужно будет расшифровать пароль.
import java.sql.Connection;
import java.sql.SQLException;
public class SecureDataSource extends DriverManagerDataSource{
private String url;
private String username;
private String password;
/**
* @param url the url to set
*/
public void setUrl(String url) {
this.url = url;
}
/**
* @param username the username to set
*/
public void setUsername(String username) {
this.username = username;
}
/**
* @param password the password to set
*/
public void setPassword(String password) {
this.password = password;
}
protected Connection getConnectionFromDriverManager() throws SQLException {
String decryptedPassword = null;
//decrypt the password here
return getConnectionFromDriverManager(url,username,decryptedPassword);
}
}
Какова цель скрыть пароль? Я предлагаю вам настроить источник данных в контейнере (Tomcat, JBoss или все, что вы используете) и вставить источник данных в ваше приложение, используя jndi:
<jee:jndi-lookup id="thedatasource"
jndi-name="java:comp/env/jdbc/thedatasource"
lookup-on-startup="false"
expected-type="javax.sql.DataSource"/>
Таким образом, вы не должны открывать и вводить пароль в своем приложении, а только в контейнере сервлетов.
Хорошие варианты были предоставлены, еще один очевидный ответ - использовать PropertyPlaceholderConfigurer:
<context:property-placeholder
system-properties-mode="OVERRIDE"
location="classpath:database.properties" />
<bean id="dataSource" class="com.whatever.datasource.you.Use">
<property name="password" value="${database.password}" />
</bean>
Теперь вы можете сохранить свой пароль как свойство в файле свойств (который вы можете создать во время развертывания, если вы не хотите его использовать в SCM) или как системное свойство (которое, мы надеемся, также будет недоступным других разработчиков).
Уточнение: во время развертывания несколько расплывчато. Думаю, вам придется написать установщик, который динамически генерирует файл свойств на компьютере конечного пользователя, возможно, связанный с механизмом регистрации/регистрации.
EDIT: Я до сих пор не понял, с кем вы скрываете информацию. Две теории:
a) Люди, у которых есть доступ к вашему исходному коду
b) Ваши клиенты
Если это а), то иди в мою сторону. Все остальные способы могут быть легко нарушены другим разработчиком, только начиная ваше приложение с отладчика (и вдруг он внутри объекта источника данных и видит пароль).
Если это б), то у вас нет шансов, в основном. Клиент имеет множество возможностей для доступа к вашему паролю: отладчики, агенты, манипуляции с байт-кодами, плетение времени загрузки и т.д. Даже если он этого не делает, ему просто нужно будет подключить сниффер порта, чтобы получить пароль в ясном текст. Единственная безопасная вещь - иметь имя пользователя/пароль для каждого клиента (никогда не храните глобальный пароль на своей машине клиента).
У меня был тот же вопрос в последнее время. Я хотел сохранить хешированную версию пароля в файле .properties.
Я сделал трюк благодаря предыдущим параметрам: я расширил DelegatingDataSource и переопределил методы getConnection([...]).
public class UnhashingDataSource extends DelegatingDataSource {
private static final Logger LOGGER = Logger.getLogger(UnhashingDataSource.class);
private static final int HEX_RADIX = 16;
private static final String DB_PASS = "a_sample_password";
@Override
public Connection getConnection() throws SQLException {
DriverManagerDataSource dataSource = (DriverManagerDataSource) getTargetDataSource();
return getConnection(dataSource.getUsername(), dataSource.getPassword());
}
@Override
public Connection getConnection(String username, String password) throws SQLException {
try {
DataSource datasource = getTargetDataSource();
if (datasource == null) {
throw new RuntimeException("targetDataSource is null");
}
MessageDigest md = MessageDigest.getInstance("SHA-1");
md.reset();
md.update(DB_PASS.getBytes());
if (password.equals(getHexString(md.digest()))) {
return datasource.getConnection(username, DB_PASS);
} else {
throw new RuntimeException("Unable to connect to DB");
}
} catch (NoSuchAlgorithmException e) {
LOGGER.error("Unknown algorithm");
}
return null;
}
private String getHexString(final byte[] messageDigest) {
BigInteger bigInt = new BigInteger(1, messageDigest);
return bigInt.toString(HEX_RADIX);
}
}
Затем, вот как я использовал его в своем applicationContext.xml:
# Using the unhashing datasource
<bean id="entityManagerFactory"
class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean">
<property name="dataSource" ref="unhashingDataSource" />
# ...
</bean>
<bean id="hashedDataSource"
class="org.springframework.jdbc.datasource.DriverManagerDataSource">
<property name="driverClassName" value="${datasource.driverClassName}" />
<property name="url" value="${datasource.url}" />
<property name="username" value="${datasource.username}" />
<property name="password" value="${datasource.hash}" />
</bean>
<bean id="unhashingDataSource"
class="my.package.UnhashingDataSource">
<property name="targetDataSource" ref="hashedDataSource" />
</bean>
Где datasource.hash - свойство (из файла .properties), хранящееся как:
datasource.hash = 2e54b0667ef542e3398c55a08a4e04e69b9769e8
Простой пароль все еще находится в байтовом коде, но не непосредственно в файле .properties.
Спасибо за все ваши сообщения и запросы.
Надеемся, что посетителям будет ясно, как можно шифровать пароль, читая эту страницу. Одна важная вещь, которую я хотел бы добавить здесь, если вы имеете дело с производством, то определенно предложит вам использовать любой "алгоритм безопасного хеширования", такой как SHA-256 с солью. Вы можете использовать безопасный алгоритм хеширования, используя соль в качестве промышленного стандарта.