мы пытаемся использовать хранилище, чтобы сохранить учетные данные базы данных, и использовать токен в приложении весенней загрузки для извлечения секретов. Учетные данные хранятся в секретном бэк-энде в хранилище. Соединение с приложением и хранилищем безопасно для TLS. Этот вид секретного распространения все еще уязвим и зависит от зрелости разработчиков. Как только приложение получит доступ к секретам, оно может быть зарегистрировано в файлах. В отличие от традиционного приложения JEE, источник данных ищется в ресурсе jndi, а приложение никогда не использует учетные данные базы данных. настройка ресурсов была выполнена операционной командой, и доступ к учетным данным был ограничен. Приложение никогда не имеет видимости учетных данных.
Правильно ли мое понимание, если это так, как мы можем сделать секреты более безопасными в весенней загрузке, или это компромисс, с которым мы должны идти на компромисс.