您在哪里存储数据库密码？

Question

从代码中获取数据库和其他服务密码的方法有哪些？我已经阅读过有关使用每个服务器属性文件的信息，但是当您拥有大量服务器时，它会很难维护。我还看到了一种使用 CI 构建过程来“注入”密码的解决方案，但这使得动态更新密码变得困难。

一些有助于缩小答案范围的要求...

1. 密码应该在发生安全漏洞时易于更改和传播。
2. 密码不能出现在代码中（由于第 1 点）
3. 对于人们来说，获得密码的纯文本版本应该是“不简单的”
4. 应该在 Web 应用程序和独立应用程序中运行良好
5. 易于应用程序开发人员采用 一些优点

包括不引入单点故障、快速的开发时间和易于理解。

这在精神上与这个问题类似，但非常强调可维护性和更多地关注服务器端的情况。

Answer 1

您可以将其以纯文本形式存储在受保护目录中的文件中，该目录只能由运行应用程序的帐户读取。对于 Web 应用程序，您应始终将密码存储在 Web 根文件夹之外。

Answer 2

如果您使用数据库连接池，那么用户名、密码和其他数据库详细信息通常在 Java Web 容器中管理，并作为数据源呈现给 Java 代码。您只需请求数据库连接，而无需了解任何这些详细信息。

Answer 3

除了将其存储在 Web 根目录之外的文本文件中之外，如何使用加密呢？对于大多数语言来说，使用加密方法是相当简单的，尽管它可能不是严格必要的以防止网络攻击，但它会让其他人更难访问您系统上的文件。此外，进行一些混淆，将文件伪装成其他名称很无聊的文件，很可能会被忽视，这样即使有人对服务器有物理访问权限，也不太可能找到它。