在源代码中存储加密凭据是否安全

【问题标题】:Is it safe when store encrypted credentials in source code在源代码中存储加密凭据是否安全
【发布时间】:2021-10-31 12:57:13
【问题描述】:

我使用 Spring 框架的 Encryptors 来覆盖我的 S3 凭据并在启动应用程序时传递解密密码来解密它。

但不确定推送到公共 git 存储库是否安全

还有其他更好的方法来保证它的安全吗?

s3:
  endpoint: http://localhost:4566
  key: 5a79278dca41d8fd82cef12c224ab07227cf90ee0251622eb9f3e134d383ba4c
  secret: 5a79278dca41d8fd82cef12c224ab07227cf90ee0251622eb9f3e134d383ba4c
  bucket: pdminhdev

【问题讨论】:

  • 了解externalized configuration。 Spring Boot 通过多种方式在运行时提供属性使这变得简单;环境变量和 Spring Cloud Config 提供程序是两个常见的选项。
  • 谢谢@chrylis,运行时属性和外部配置的结合似乎适合我

标签: java spring amazon-s3 bcrypt


【解决方案1】:

如果您将身份验证系统作为一个整体进行设计,则不应存储密码,即使密码已加密。您存储一个哈希,并检查登录期间提供的密码是否与相同的哈希匹配。这样一来,您的数据库中的安全漏洞就可以避免暴露您的用户密码。

【讨论】:

  • 谢谢@Ilan56,我只想存储AWS S3 凭证:D
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2012-10-05
  • 1970-01-01
  • 2020-02-29
  • 2013-11-19
  • 2015-06-22
  • 2011-01-07
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode