Wie schützt man MySQL-Anmeldeinformationen in Java-Code vor Dekompilierung?

So schützen Sie MySQL-Benutzernamen und -Passwort vor der Dekompilierung

Problem:

Java .class Dateien können mühelos dekompiliert werden. Wie kann man eine Datenbank schützen, wenn Anmeldeinformationen innerhalb des Codes verwendet werden müssen?

Antwort:

Kodieren Sie Passwörter niemals fest in den Code. Dies wurde kürzlich in den „Top 25 der gefährlichsten Programmierfehler“ hervorgehoben:

„Die feste Codierung eines geheimen Kontos und Passworts in Ihre Software ist außerordentlich praktisch – für erfahrene Reverse Engineers. Wenn das Passwort in Ihrer gesamten Software konsistent ist.“ , jeder Kunde wird angreifbar, wenn dieses Passwort unweigerlich bekannt wird. Da es außerdem fest codiert ist, ist es eine erhebliche Unannehmlichkeit, es zu lösen.

Konfigurationsinformationen, einschließlich Passwörtern, sollten in einer separaten Datei gespeichert werden, die die Anwendung bei der Initialisierung liest. Dies ist die einzig wahre Methode, um zu verhindern, dass das Passwort aufgrund der Dekompilierung verloren geht (kompilieren Sie es niemals überhaupt in die Binärdatei).

Lösung:

Für Java Eine einfache Lösung besteht darin, die Preferences-Klasse zu verwenden, die zum Speichern verschiedener Programmeinstellungen, einschließlich Benutzernamen und Passwörter, entwickelt wurde.

import java.util.prefs.Preferences;

public class DemoApplication {
  Preferences preferences = Preferences.userNodeForPackage(DemoApplication.class);

  public void setCredentials(String username, String password) {
    preferences.put("db_username", username);
    preferences.put("db_password", password);
  }

  public String getUsername() {
    return preferences.get("db_username", null);
  }

  public String getPassword() {
    return preferences.get("db_password", null);
  }

  // your code here
}

In diesem Code Die setCredentials-Methode legt den Benutzernamen und das Passwort fest, nachdem ein Dialog zur Eingabe angezeigt wird. Beim Herstellen einer Verbindung zur Datenbank rufen die Methoden getUsername und getPassword die gespeicherten Werte ab. Die Anmeldeinformationen sind nicht fest in Binärdateien codiert, wodurch das durch die Dekompilierung entstehende Sicherheitsrisiko gemindert wird.

Wichtige Hinweise:

• Einstellungsdateien sind reine Text-XML-Dateien. Verhindern Sie den Zugriff unbefugter Benutzer (UNIX- und Windows-Berechtigungen usw.).
• Die richtige Architektur hängt vom Anwendungskontext ab. Wenn der Benutzer die Anmeldeinformationen kennt (und dazu berechtigt ist), funktioniert die obige Lösung. Wenn Sie jedoch versuchen, Anmeldeinformationen vor dem Benutzer zu verbergen, wird eine mehrstufige Architektur mit einer mittleren Ebene empfohlen, die Benutzer authentifiziert und eingeschränkte Vorgänge gewährt.
• In der mehrstufigen Architektur verfügen Benutzer über ihre eigenen Anmeldeinformationen für die Authentifizierung die Geschäftslogikebene, nicht jedoch die Datenbank. Daher stellt die Clientanwendung nie eine direkte Verbindung zur Datenbank her.

Das obige ist der detaillierte Inhalt vonWie schützt man MySQL-Anmeldeinformationen in Java-Code vor Dekompilierung?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!