一般开发中,很少会接触到Oracle数据库的wallet,但是我在一次研究发送ssl邮件的时候,了解到了这个东西,当时因为我没找到关于wallet的完整介绍文档,没和DBA说清楚,导致DBA错误操作使数据库无法登陆了。后来我翻了很多中文和英文的文档和文章,对于单实例ORACLE数据库,大致整理出以下四种常用的用途
可以生成一个wallet,配置好相关登录信息后,将wallet文件放在客户端上,客户端即可实现无密码登录,防止密码明文配置在客户端导致泄漏的风险,像java、python等开发语言都可以使用wallet登录oracle数据库
可以把数据库中某些表的某些列进行加密,让常规用户名密码登录方式的用户无法查看这些列中的内容,只有通过wallet登录的会话才能查看,减少敏感数据泄露的风险
比如发起https的api请求,发送加密邮件等。oracle数据库目前还无法自动下载对称加密的证书,需要用户自行下载并配置到wallet中,然后在开始进行tcp通讯前引用一下wallet的目录即可。
这个和https类似,我之前有在未加密的客户端和数据库通讯时抓过包,比如写条查询sql,那么客户端发送给数据库的网络包中就会这个sql的明文信息,数据库返回数据到客户端时也是如此。如果网络被监控,或者走了公网,存在一定程度的安全风险。所以可以通过配置wallet,让数据库和客户端间进行对称加密,这样就算被抓包也很难破解出其中的内容了
wallet有两个配置工具,这两个配置工具在linux和windows上都是有的,并且可以脱离数据库服务器使用
可以通过命令行脚本来创建wallet、生成证书、添加证书等,适用于自动化部署
比如
REM 创建wallet orapki wallet create -wallet /u01/app/wallet -pwd password -auto_login REM 给wallet添加一个证书文件 orapki wallet add -wallet /u01/app/wallet -trusted_cert -cert /u01/app/wallet/cert1.cer -pwd password
有可视化窗口的工具,配置方式更人性化
在选定目录执行创建wallet并保存后,会在该目录下生成“ewallet.p12”和“cwallet.sso”这两个文件,如果需要变更wallet目录,只需要移动这两个文件即可
https://blog.csdn.net/tianlesoftware/article/details/8269547