将私钥存储在 ServletContext 中

Question

我想听听您的意见。我正在开发一个 Servlet，它必须签署发送到端点的请求。

为了避免从服务器的密钥库文件中读取、加载它并获取私钥，我在实现 ServletContextListener 的侦听器中完成所有这些操作。这样，仅当 servlet 初始化（部署）时才会执行此操作。

获得私钥后，我将其存储在应用程序的 ServletContext 中。您认为这是一个好的设计决策吗？

提前致谢。

Answer 1

无论您选择哪种解决方案，您有时都会在内存中拥有私钥。因此任何能够访问内存的破解者都可以找到一种方法来获取这个私钥。对我来说，加载一次并在启动时将其存储在内存中似乎是一个很好的解决方案。只需确保服务器不易被恶意人员访问即可。