在Java中存储令牌/密码的最佳实践

根据我到目前为止所观察到的情况,我认为这个XML文件是一个配置文件,或者类似于在运行时管理环境变量的文件。但是,您需要知道,任何敏感值都不应以纯文本形式存储在存储库、数据库、容器等中。

一种实用的方法是将加密的敏感值存储在可靠和安全的位置,并在部署到生产环境之前对其进行解密。

如果您希望加密存储这些令牌,可以使用github encypted-secret 特色然后,在部署之前,使用CI管道重建此XML,并让github在构建期间处理值的解密(请参阅) this 例如)。另一个例子是,可以使用AWS secret-manager 将docker容器部署到ECS时,对所有值进行加密,然后将这些值注入容器中。

这种方法的优点包括防止令牌泄漏,通过简单地替换Gtihub、AWS等中的值并创建一个新部署,提供轻松的密钥旋转。

您可以检查KeyClope服务器: https://www.keycloak.org/