问目标凭据登录到调试日志中

EN

类ScpCfDestinationLoader有一个私有方法queryDestinationService，它确实会用日志级别DEBUG记录对Cloud目标服务的内部请求的响应有效负载。很明显，对于调试客户/消费者问题，这样的响应会对意外情况和潜在的用户错误配置提供非常重要的提示。它需要被记录在某个地方，否则需要时间密集的远程调试会话来调查每一个错误。

使用Cloud帐户的默认配置，不会记录调试消息。如果您(作为管理员)决定启用DEBUG消息，那么您应该知道潜在的敏感信息将存储在日志文件中。谁可以访问日志文件，可以由帐户管理员控制。

在处理Destination实例时，我们已经采取了一些预防措施，以隐藏敏感信息以避免提取。您所指的过于“健谈”的日志消息肯定也会受到进一步的调整。谢谢你的指点。将来，我们将在这里停止写入凭据(密码/客户端机密)来调试日志。

但是，我们认为调试日志消息与生产无关。

请注意:同样的情况不仅适用于Cloud，而且也适用于底层Apache框架，例如它的线材包装类。这里详细记录了内部HTTP通信量的每个字节。如果潜在的攻击者能够完全访问Java应用程序的日志，他几乎可以看到每个网络活动。