Geronimo V2.1.5 中的安全提升
2010-07-02 00:00:00 来源:WEB开发网密码的加密
在 Geronimo V2.1 系列的前几个版本中,凡是 GBean 的属性中包含有”password”字符串的,都会在其被写入到 config.xml 文件中时自动加密,从 GBeanOverride 类 writeXml 方法中的一条判读语句就可以看出这一点,如清单 1 所示。
清单 1. writeXML 方法的代码片断
if (name.toLowerCase().indexOf("password") > -1) {
value = EncryptionManager.encrypt(value);
}
它利用了 EncryptionManager 的 encrypt 静态方法进行加密。默认情况下,这个加密方法采用预定义的简单加密方式,对明文加密后的密文字符串都会付加 {Simple} 开头。其算法如下:
当输入字符串是以 {Simple} 开头,直接返回。
当输入字符串是以 {XXX} 开头,则认为是其它加密方式加密后的密文,要先将其解密成明文,再以简单加密方式加密。
当输入字符串不以任何 {XXX} 开头时,以简单加密方式加密。
当 Geronimo 启动过程中读到 config.xml 时,会调用 EncrptionManager 的 decrypt 静态方法进行解密,其算法如下:
当输入字符串不以任何 {XXX} 开头时,认为其未加密,直接返回。
否则,使用 {XXX} 对应的方式进行解密,如,当密文字符串开头为 {Simple} 时,会使用简单解密方式。
由此我们看出,Geronimo 已经提供了一套用于密码的加密和解密的机制,但是,不足的是,以前的版本在命令行里却没有利用这些 API 的工具来加密字符串,也就是说用户没有渠道手工的加密明文从而将产生的密文放到 config.xml 中去。并且,对于 Geronimo 模块的部署计划,如数据源和 JMS 资源适配器等,用户不能在其中指定加密后的密码,这不利于保证应用程序的安全性。在 Geronimo V2.1.5 中,这些问题得到了解决。
更多精彩
赞助商链接