rmi через ssl / tls, есть ли способ надежно идентифицировать абонента?

Question

Есть ли какой-нибудь способ надежно получить вызывающий метод при запуске вызываемого метода (на стороне сервера)?

я знаю, что есть строка клиента, доступная через свойства сервера, но не слишком ли она слабая? любой способ получить, например владелец сертификата клиента?

пожалуйста, дайте мне пару советов, БУДЕТ RTFD сразу после этого;)

заранее спасибо

Answer 1

Это одна из основных проблем с RMI / SSL. Нет другого способа получить сертификат партнера, кроме как с помощью дополнительного кода, такого как предложение Эриксона. Это фактически делает его небезопасным, поскольку нет способа выполнить шаг авторизации: вы получаете конфиденциальность, целостность и аутентификацию, но без авторизации. См. Мою Белую книгу для расширенного обсуждения.

Answer 2

Я не продумал это слишком тщательно, но на всякий случай я бы предложил подключить пользовательский TrustManager, который после аутентификации вызывающего абонента связывает сертификат клиента с вызывающим. нить. Это можно сделать просто с помощью ThreadLocal или с использованием архитектуры JAAS.