Masquer le mot de passe de la source de données dans le fichier print xml

il y a un moyen de masquer/crypter le mot de passe en xml spring fichier de config?
J'ai lu ce qui est possible avec une "coutume", sous-catégorie de source de données, mais les solutions de garder la clé dans le même fichier de configuration au format texte...c'est un peu inutile.

Il y a un moyen d'utiliser le fichier de clés pour cela?
Par exemple la lecture de la valeur à partir d'un fichier de clés.

Merci à tous.

source d'informationauteur blow

  1. 10

    Oui, vous pouvez le faire. Vous devrez créer un wrapper de haricots autour de la source de données de la classe. Voici un exemple de la façon dont je l'ai fait avant. Espérons que cette aide!

    <beans>
    <bean id="someDao" class="com.dao.SomeDAOImpl">
         <property name="datasource">
            <ref local="secureDataSource"/>
        </property>
    </bean>
    <bean id="secureDataSource" class="com.ds.SecureDataSource">
        <property name="driverClassName">
            <value><your driver></value>
        </property>
        <property name="url">
            <value><your url></value>
        </property>  
        <property name="username">
            <value><your user id></value>
        </property>
        <property name="password">
            <value><encrypted_pwd></value>
        </property> 
    </bean> 
</beans>

    À l'intérieur de l'SecureDataSource classe que vous aurez besoin pour décrypter le mot de passe.

    import java.sql.Connection;
import java.sql.SQLException;


public class SecureDataSource extends DriverManagerDataSource{

    private String url;
    private String username;
    private String password;
    /**
     * @param url the url to set
     */
    public void setUrl(String url) {
        this.url = url;
    }

    /**
     * @param username the username to set
     */
    public void setUsername(String username) {
        this.username = username;
    }

    /**
     * @param password the password to set
     */
    public void setPassword(String password) {
        this.password = password;
    }

    protected Connection getConnectionFromDriverManager() throws SQLException {
        String decryptedPassword = null;
        //decrypt the password here
        return getConnectionFromDriverManager(url,username,decryptedPassword);
    }
}
  2. 11

    Quel est le but de cacher le mot de passe? Je vous suggère de configurer la source de données dans le conteneur (Tomcat, JBoss ou ce que vous utilisez) et injecter de la source de données dans votre application en utilisant jndi:

    <jee:jndi-lookup id="thedatasource"
                     jndi-name="java:comp/env/jdbc/thedatasource"
                     lookup-on-startup="false"
                     expected-type="javax.sql.DataSource"/>

    De cette façon, vous n'avez pas à exposer et mot de passe dans votre application, mais uniquement dans le conteneur de servlet.

  3. 2

    De bonnes options ont été donnés, une autre réponse évidente est d'utiliser le PropertyPlaceholderConfigurer:

    <context:property-placeholder
    system-properties-mode="OVERRIDE" 
    location="classpath:database.properties" />

<bean id="dataSource" class="com.whatever.datasource.you.Use">
    <property name="password" value="${database.password}" />
</bean>

    Maintenant, vous pouvez garder votre mot de passe, soit en tant que propriété dans un fichier de propriétés (que vous avez peut créer des cours de déploiement si vous ne voulez pas l'avoir dans l'SCM) ou comme un Système de Propriété (qui sera je l'espère également être au-delà de la portée des autres développeurs).

    Précisions: créer des cours de déploiement est un peu vague. Je suppose que vous aurez à rédiger un programme d'installation qui génère le fichier de propriétés de manière dynamique sur la fin de l'utilisateur de la machine, probablement couplé avec un inscrire /se connecter mécanisme.

    EDIT: je n'ai toujours pas compris qui vous êtes à cacher les informations de. Deux théories:

    a) les Personnes qui ont accès à votre code source

    b) de Vos clients

    Si c'est une), puis aller à ma façon. Tous les autres moyens peuvent facilement être rompu par l'autre développeur, juste à partir de votre application avec un débogueur (et, soudain, il est à l'intérieur de l'objet source de données et voit le mot de passe).

    Si c'est b), alors vous n'avez aucune chance, dans le fond. Le client a des tonnes de possibilités pour obtenir votre mot de passe: des débogueurs, des agents, de manipulation de bytecode, loadtime tissage etc. Même si il ne veut pas le faire, il suffit de joindre un port sniffer pour obtenir le mot de passe en texte clair. La seule chose sûre à faire est d'avoir un nom d'utilisateur /mot de passe par le client (ne jamais stocker un mot de passe global à l'ordinateur de votre client).

  4. 0

    J'ai eu la même question récemment. J'ai voulu enregistrer une version cryptée du mot de passe dans une .fichier de propriétés.
    J'ai fait le tour grâce aux options précédentes: j'ai étendu la DelegatingDataSource et surdéfini la getConnection([...]) méthodes.

    public class UnhashingDataSource extends DelegatingDataSource {
private static final Logger LOGGER = Logger.getLogger(UnhashingDataSource.class);
private static final int HEX_RADIX = 16;
private static final String DB_PASS = "a_sample_password";
@Override
public Connection getConnection() throws SQLException {
DriverManagerDataSource dataSource = (DriverManagerDataSource) getTargetDataSource();
return getConnection(dataSource.getUsername(), dataSource.getPassword());
}
@Override
public Connection getConnection(String username, String password) throws SQLException {
try {
DataSource datasource = getTargetDataSource();
if (datasource == null) {
throw new RuntimeException("targetDataSource is null");
}
MessageDigest md = MessageDigest.getInstance("SHA-1");
md.reset();
md.update(DB_PASS.getBytes());
if (password.equals(getHexString(md.digest()))) {
return datasource.getConnection(username, DB_PASS);
} else {
throw new RuntimeException("Unable to connect to DB");
}
} catch (NoSuchAlgorithmException e) {
LOGGER.error("Unknown algorithm");
}
return null;
}
private String getHexString(final byte[] messageDigest) {
BigInteger bigInt = new BigInteger(1, messageDigest);
return bigInt.toString(HEX_RADIX);
}
}

    Alors, voici comment je l'ai utilisé dans mon applicationContext.xml:

    # Using the unhashing datasource
<bean id="entityManagerFactory"
class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean">
<property name="dataSource" ref="unhashingDataSource" />
# ...
</bean>
<bean id="hashedDataSource"
class="org.springframework.jdbc.datasource.DriverManagerDataSource">
<property name="driverClassName" value="${datasource.driverClassName}" />
<property name="url" value="${datasource.url}" />
<property name="username" value="${datasource.username}" />
<property name="password" value="${datasource.hash}" />
</bean>
<bean id="unhashingDataSource"
class="my.package.UnhashingDataSource">
<property name="targetDataSource" ref="hashedDataSource" />
</bean>

    datasource.hash est une propriété d'une .fichier de propriétés) stockées comme:

    datasource.hash = 2e54b0667ef542e3398c55a08a4e04e69b9769e8

    Le mot de passe en clair est encore en bytecode, mais pas directement dans une .fichier de propriétés plus.

  5. 0

    Merci pour tous vos post et les requêtes.

    De l'espoir pour les visiteurs de son claire de la technique pour crypter le mot de passe par la lecture de cette page. Une chose importante que je tiens à ajouter ici, si vous traitez avec la production, alors certainement vous suggère d'utiliser les "Secure Hash Algorithm" comme SHA-256 avec le sel. Vous pouvez envisager d'algorithme de hachage sécurisé à l'aide de sel en tant que norme de l'industrie.