J2EE连接数据库的密码安全问题
J2EE连接数据库的密码如果明文存储,如果用户有访问服务器该文件的权限,就可以轻松窃取该密码。请问各位是怎么处理这个问题的。 --------------------编程问答-------------------- 用连接池啊, 连接数据库的串在class文件里面,然后用混淆器混淆一下,或者密码加密 --------------------编程问答-------------------- 谢谢楼上回复:连接池指的是中间件的数据源吧,这个方案是我们正在采用的。
放在class文件中混淆之后,拿到这个class文件反编译应该也能找到密码吧。没试过,不太清楚。
密码加密,问题是怎么解密呢,解密的秘钥放哪呢。
--------------------编程问答-------------------- --------------------编程问答-------------------- 混淆后的class 文件你反编译完可读性极差或者不可读, 加密解密的话,密钥另存在某个密钥文件里面或者是专门的加密类里面。 --------------------编程问答-------------------- 应用=用户,既然应用有权限访问数据库,那么有权限碰到这个应用的用户应该也有权限碰数据库才对,LZ是什么场景会有用户能碰到应用但是不能碰数据库? --------------------编程问答-------------------- 你使用的什么中间件? 如Weblogic连接池会自动加密,生成密码文件。不花工夫是没法破解的。
注意:是不花工夫 --------------------编程问答-------------------- 建议编写一套算法实现可逆加密,无需存储加密后的密码,使用密码时,只需调用方法解密即可。 --------------------编程问答-------------------- 能拿到你的配置文件还拿不到你的数据库么?拿个数据库备份出来直接找台机器还原一下,什么数据都有了
补充:Java , Java EE