我在 Tomcat 战争应用程序中使用 ESAPI 加密。我想从战争之外的目录加载 ESAPI.properties 文件,以便为每个环境提供不同的密钥和盐。我也希望每场战争都有一个不同的 ESAPI.properties 文件,这样每个应用程序都将进行个性化配置。根据 org.owasp.esapi.reference.DefaultSecurityConfiguration 的文档,实现这一目标的方法很少。
1) SecurityConfiguration.setResourceDirectory("C:\temp\resources")。
2) System.getProperty("org.owasp.esapi.resources")
3) System.getProperty("user.home") + "/.esapi" 目录里面
4) 类路径上的第一个“.esapi”或“esapi”目录。
前 3 个选项将强制每个 tomcat 配置一个配置。这意味着属性文件位置在所有部署的战争中都被强制执行。(第一个选项使用 ClassLoader.getSystemResource - 要求路径是类路径的一部分)
有没有办法使用Tomcat配置来完成它?
我还找到了一种覆盖 ESAPI 默认安全配置的方法,我可以在其中扩展 DefaultSecurityConfiguration 并覆盖 getResourceFile,但是 ESAPI javadoc 说这种方法应该“从不”使用——我不确定这是什么原因。
package org.owasp.esapi;
public final class ESAPI{
/**
* Overrides the current security configuration with a new implementation. This is meant
* to be used as a temporary means to alter the behavior of the ESAPI and should *NEVER*
* be used in a production environment as it will affect the behavior and configuration of
* the ESAPI *GLOBALLY*.
*
* To clear an overridden Configuration, simple call this method with null for the config
* parameter.
*
* @param config
* @return
*/
public static void override( SecurityConfiguration config ) {
overrideConfig = config;
}
有什么建议么?