【发布时间】:2017-01-09 09:48:20
【问题描述】:
为了满足我们的内部安全要求,我编写了一个 Java 客户端,它使用证书与服务器进行相互身份验证。但是,要将证书放入 SSLContext,我必须提供密钥库和信任库的密码。密码在代码中是明文的,这也不符合我们的要求。
有什么方法可以避免在代码中使用纯文本形式的密钥库/信任库密码?我已经尝试过 Stack Overflow 上的答案,建议在没有密码的情况下创建商店和/或直接将证书加载到 SSLContext 中,但是当我尝试这些方法时身份验证失败。
【问题讨论】:
-
您不必向信任库提供密码。在某些时候,您必须信任运营商。通常的解决方案是通过访问卡进行物理安全。
标签: java security password-protection mutual-authentication