rmi over ssl/tls，有什么方法可以安全地识别调用者？

Question

有什么方法可以在运行被调用方法（服务器端）时安全地获取方法调用者？

我知道有一个可以通过服务器属性访问的客户端字符串，但它不是太“弱”了吗？ 有什么方法可以获取例如客户端证书所有者吗？

请给我一些提示，之后会立即 RTFD ;)

提前致谢

Answer 1

这是 RMI/SSL 的主要问题之一。 除了通过额外的代码（例如埃里克森的建议）之外，没有其他方法可以获取对等证书。 这实际上使它不安全，因为无法执行授权步骤：您可以获得隐私、完整性和身份验证，但没有授权。 有关详细讨论，请参阅我的白皮书。

Answer 2

我还没有想得太彻底，但是我建议插入一个自定义 TrustManager，在对调用者进行身份验证后，将客户端证书与调用者的线程关联起来。 这可以简单地使用 ThreadLocal 或使用 JAAS 架构来完成。