JWT secret keyセキュリティのトラブルシューティング
現在、プロジェクトではjwtsecretkeyがこのように暴露されています.
@value APIの使用 application.propertiesデータをロードするクラスに@Componentを追加しSpring Beanとして登録します. @Value宣言に適用されます.プロパティで作成したキーを識別します.
環境APIの使用
@Autowiredを使用して環境を登録します. getProperty()メソッドを使用して、属性のキー値を取得します.
public class JwtTokenUtils {
...생략...
public static final String CLAIM_EXPIRED_DATE = "EXPIRED_DATE";
public static final String CLAIM_USER_NAME = "USER_NAME";
public static final String JWT_SECRET = "thandbag_!@#$%";
...생략...
secret keyを非表示にするには、アプリケーションを使用します.機密情報をpropertiesファイルから分離して、propertiesファイルから情報を読み出す必要があります.方法。
@value APIの使用
@Component
public class JwtTokenUtils {
@Value("{jwt.secret}")
public String jwtSecret;
方法。
環境APIの使用
@Autowiredを使用して
@Autowired
private Environment environment;
environment.getProperty("jwt.secret")
Reference
この問題について(JWT secret keyセキュリティのトラブルシューティング), 我々は、より多くの情報をここで見つけました https://velog.io/@davidko/JWT-secret-key-보안문제-해결テキストは自由に共有またはコピーできます。ただし、このドキュメントのURLは参考URLとして残しておいてください。
Collection and Share based on the CC Protocol