在内部网络上肯定不能解雇安全.内部人士对信息造成的损害最大.看看受保护的价值,并适当考虑安全.

听起来好像有一个第三方应用程序,您有一套凭据,一些客户端在使用第三方应用程序时有效共享此身份.如果是这样,我建议采用以下方法.

不要将第三方密码分发到Web服务器之外.

最安全的方法是以交互方式将其提供给Web应用程序.这可能是ServletContextListener,它在应用程序启动时提示输入密码,或应用程序中的页面,以便管理员可以通过表单输入密码.密码存储在ServletContext中,用于对第三方服务的请求进行身份验证.

安全的步骤是将密码存储在服务器的文件系统上,以使其只能由运行服务器的用户读取.这取决于服务器的文件系统权限进行保护.

尝试在客户端或服务器上存储密码的加密形式只是向后退一步.当试图用另一个秘密保护秘密时,你陷入无限的倒退.

此外,客户端应该向服务器进行身份验证.如果客户端是交互式的,请让用户输入密码.然后,服务器可以决定该用户是否被授权访问第三方服务.如果客户端不是交互式的,则下一个最佳安全性是使用文件系统权限来保护客户端的密码.

为了保护客户端的凭据,客户端和Web服务器之间的通道应该用SSL保护.在这里,在内部网上运行是有利的,因为您可以在服务器上使用自签名证书.

如果您将密码存储在文件中,请将其自己存放在文件中;它使得需要仔细管理权限更显眼,并最大限度地减少了许多用户编辑该文件并因此查看密码的需要.