【发布时间】:2016-10-21 05:56:03
【问题描述】:
背景
普通的旧 Java 应用程序,没有附加网络服务器(甚至没有 JBoss),正在使用 JPA 查询数据库。
问题
JDBC密码暴露在persistence.xml:
<?xml version="1.0" encoding="UTF-8"?>
<persistence version="2.1" xmlns="http://xmlns.jcp.org/xml/ns/persistence" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/persistence http://xmlns.jcp.org/xml/ns/persistence/persistence_2_1.xsd">
<persistence-unit name="PU" transaction-type="RESOURCE_LOCAL">
<provider>org.hibernate.ejb.HibernatePersistence</provider>
<properties>
<property name="javax.persistence.jdbc.url" value="jdbc:postgresql:DATABASE"/>
<property name="javax.persistence.jdbc.user" value="USERNAME"/>
<property name="javax.persistence.jdbc.driver" value="org.postgresql.Driver"/>
<property name="javax.persistence.jdbc.password" value="PASSWORD"/>
<property name="hibernate.cache.provider_class" value="org.hibernate.cache.NoCacheProvider"/>
<property name="hibernate.hbm2ddl.auto" value="validate"/>
</properties>
</persistence-unit>
</persistence>
想法
可以实例化JNDI subcontext 以在应用程序的main 方法中设置密码。这可能允许使用 JTA 数据源:
<persistence xmlns="http://java.sun.com/xml/ns/persistence"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/persistence http://java.sun.com/xml/ns/persistence/persistence_2_0.xsd"
version="2.0">
<persistence-unit name="PU" transaction-type="RESOURCE_LOCAL">
<provider>org.hibernate.ejb.HibernatePersistence</provider>
<jta-data-source>java:/DefaultDS</jta-data-source>
<properties>
<property name="hibernate.hbm2ddl.auto" value="create-drop"/>
</properties>
</persistence-unit>
</persistence>
问题
如何将密码外部化,使其不再存在于persistence.xml 中?
注意:persistence.xml 存储在公共存储库中,因此如果密码不是在尖叫“请破解我”,那就太好了。相反,JDBC 连接信息应该在一个不会被检入存储库的文件中。
【问题讨论】:
-
openjpa.208410.n2.nabble.com/… JNDI 或从应用程序传递密码。
标签: java hibernate security jpa jdbc