Q&A
DBユーザー、パスワードはどうしてますか?
Spring Bootで開発をしています。
個人情報の内容を暗号化してDBに保存したいのですが、暗号キーはどこに保存しておくのがよいでしょうか?
セキュリティー上どの方法が好ましいのかわかりません。
アドバイスをいただけると幸いです。
DBは何をお使いですか?
DBはMySQLになります。
DBのユーザ、パスワードはapplication.properties記載しています。
このファイルは暗号化してないのですが、暗号化する必要があるかなと思ってます。
ということに気づきました。
DBユーザー、パスワードはどうしてますか? (それと同じ考え方と伝えたいんです)
ブラウザからアクセスできる領域にないのでしたら余程のこと(アホな実装)がない限りそこの暗号化は必要ないです。
ブラウザからapplication.propertiesにアクセスできることはないはずの予定です。
セキュリティの知識がないので、アホなことを言ってるかもしてないですが、
application.propertiesが含まれてるJarファイルがダウンロードされることはないと思って問題ないでしょうか?
あえてそういう作りにしてなければ(やったことがないから分からないですが)公開領域には展開されませんよ。
回答1件
0
application.propertiesに書かれた秘密鍵など公開リポジトリに公開されたくない場合は、いくつか手法がありますが、
- 環境別プロファイル用のpropertiesファイルを作成する
- アプリケーションのデプロイ用ジョブをCI(JenkinsやCircle CIを利用するなど)で作成する
- デプロイジョブにて、アプリケーションを展開してできた環境別propertiesに対し、セキュアなキーストアから値を取得して、その内容を追記する。
- アプリケーションを起動する
キーストアの管理については、例えばAWSであれば、KeyStoreManagerの利用が良いでしょう。
投稿2019/11/11 15:55
総合スコア12011
あなたの回答
tips
プレビュー
