保护应用程序密码

Securing application passwords

保护应用程序中使用的密码的最佳做法是什么?例如数据库和其他服务的密码。

这一切都归结为两个选择:

  1. 在部署时使用密码配置应用程序。例如。属性文件、命令行参数或环境变量
  2. 从安全密码存储库中提取密码

还有一条规则:

访问生产密码需要与修改使用该密码的生产应用程序相同的权限。例如。密码应该只对应用程序和该应用程序的部署脚本可用。

具体细节取决于您的基础架构和要求。