在Intranet上当然不能证明消除安全性是合理的。对信息造成的大多数损害是内部人员造成的。查看受保护内容的价值，并适当考虑安全性。

听起来好像有一个第三方应用程序，您拥有一个第三方凭据，并且某些客户端在使用第三方应用程序时可以有效地共享此身份。如果是这样，我建议采用以下方法。

请勿在您的Web服务器之外分发第三方密码。

最安全的方法是以交互方式将其提供给Web应用程序。可以是ServletContextListener，它在应用程序启动时提示输入密码，或者是应用程序中的页面，以便管理员可以通过表单输入密码。密码存储在ServletContext中，并用于验证对第三方服务的请求。

安全性方面的降级措施是将​​密码存储在服务器的文件系统上，以便只有运行服务器的用户才能读取该密码。这依赖于服务器的文件系统权限进行保护。

试图在客户端或服务器上存储加密形式的密码只是向后退了一步。尝试用另一个秘密保护一个秘密时，您将陷入无限回归。

此外，客户端应向服务器进行身份验证。如果客户端是交互式的，请让用户输入密码。然后，服务器可以决定是否授权该用户访问第三方服务。如果客户端不是交互式的，那么下一个最佳安全性是使用文件系统权限来保护客户端的密码。

为了保护客户端的凭据，客户端和Web服务器之间的通道应使用SSL保护。在这里，在Intranet上进行操作是有优势的，因为您可以在服务器上使用自签名证书。

如果确实将密码存储在文件中，请自行将它们放在文件中；它使得需要更加谨慎地管理权限更加显着，并且使许多用户编辑该文件并因此看到密码的需求降至最低。