В моем настольном приложении Java есть компонент для связи с веб-службой.Защита имени пользователя и пароля, встроенного в приложение Java Desktop
Поэтому мы должны включить в него данные доступа к нему в приложении, но не хотим, чтобы он был легко доступен в случае декомпиляции кода (мы будем запутывать).
Какие методы мы можем использовать для обеспечения этих деталей?
Не забудьте зашифровать пароль в своем приложении. Независимо от того, что вы делаете, определенный пользователь сможет расшифровать его и получить к нему доступ. Моя рекомендация - иметь имя пользователя и пароль для каждого пользователя. Приложение попросит пользователя ввести учетные данные и сохранить их (например, с помощью MD5). Если вы не можете изменить веб-службу для аутентификации многих пользователей, создайте прокси-службу, которая может это сделать. Прокси-служба, развернутая в защищенной среде, будет иметь доступ к имени пользователя и паролю защищенной службы.
Имя пользователя и пароль будут хорошим методом, но, к сожалению, он далеко выходит за рамки того, что необходимо для такого рода вещей. Вероятно, это удвоит время разработки для серверного компонента, и у меня нет такого времени. Хорошее предложение. – danpalmer
Предпочитаю, что вы попробуете Java Properties API.
Зашифровано? В противном случае я не вижу, как это поможет. – danpalmer
Обфускация кода добавляет очень ограниченную защиту для локального хранения имени пользователя и пароля. Можете ли вы взглянуть на альтернативный дизайн и иметь у каждого пользователя свою учетную запись docs google, а затем через какой-то процесс регистрации поделитесь своими документами с учетной записью пользователя? – Jay