Как правильно настроить файлы конфигурации для конфиденциальных учетных данных?

Question

В настоящее время я разрабатываю бэкэнд-приложение с пружинной загрузкой, которое имеет доступ к базе данных. Учетные данные для входа в базу данных хранятся в файле с именем application.properties, который является просто примером для весенней загрузки, но он должен быть похож на другие технологии, которые я предполагаю.

Мне было интересно, является ли это современным уровнем хранения конфиденциальных учетных данных или есть другой (лучший, более безопасный) способ хранения такого рода информации? Какие методы существуют для таких задач?

Конечно, вы не хотите отправлять эти файлы конфигурации в какие-либо репозитории версий и тому подобное, но достаточно ли это "безопасно", чтобы хранить его таким образом? Можно утверждать, что если у кого-то есть доступ к коду вашего бэкэнд-приложения, у вас есть другие проблемы, но мне все равно любопытно.

Answer 1

Аргумент, который вы используете, является правильным.Допустим, что одним из вариантов является шифрование.Даже если вы зашифруете свои учетные данные, приложение будет использовать закрытый ключ для расшифровки, верно?А если сервер скомпрометирован, злоумышленник может прочитать исходный код, найти закрытый ключ и расшифровать учетные данные.

Один из способов сделать его более безопасным - использовать запрос для сбора учетных данных.Это может быть сделано с помощью запроса REST (API, который может предоставить вам учетные данные для приложения через запрос).

И самый безопасный способ - использовать хранилище паролей. Эта публикация содержит хорошее содержание.