Question

Мне бы хотелось ваше мнение.Я разрабатываю Servlet, который должен подписать запросы, которые он отправляет конечной точке.

Чтобы избежать чтения из файла хранилища ключей сервера, загрузки его и получения закрытого ключа, я делаю все это в слушателе, который реализует ServletContextListener.Таким образом, это делается только тогда, когда сервлет инициализирован (развернут).

Получив закрытый ключ, я сохраняю его в ServletContext приложения.Как вы думаете, это хорошее дизайнерское решение?

Заранее спасибо.

JB Nizet · Answer 1 · 29 ноября 2011

Какое бы решение вы ни выбрали, в какой-то момент у вас будет личный ключ в памяти. Таким образом, любой взломщик, имеющий доступ к памяти, может найти способ получить этот закрытый ключ. Загрузка его один раз и сохранение его в памяти при запуске выглядит для меня хорошим решением. Просто убедитесь, что сервер недоступен для злоумышленников.

Магазин PrivateKey в ServletContext

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Магазин PrivateKey в ServletContext

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы