如果我在项目中包含包含数据库密码的属性文件,我如何阻止某人浏览.jar文件并访问它。
目前我已经硬编码,但你可以反编译和访问它,即使使用混淆。
是否有一个最好的方法来处理敏感数据的应用程序代码?
简短回答:你不能
长答:
如果攻击者能够访问文件系统和JAR文件,那么保护JAR文件是不可能的。您可以加密包含数据库密码的属性文件,但是您将再次面临在哪里存储加密密码的相同问题。
最后,将密码存储在属性文件中并不是安全的最佳选择。如果可能的话,应该使用带有应用程序可用API的密码保险箱。Cyberark或Vault(还有很多我不知道的)就是这种密码保险箱的例子。