RMI 导出对象中的客户端套接字工厂？

Question

如果您想为 RMI 使用自定义套接字（例如使用 SSL），请在 UnicastRemoteObject.exportObject(4) 您需要指定客户端套接字工厂和服务器套接字工厂。但对象的导出是在服务器端完成的。为什么需要客户端套接字工厂？

除非...它被序列化并由想要获取与该对象的连接的客户端使用？我发现这不太可能（尽管这可能是答案）； (SSL) 对我来说，套接字工厂听起来不像可序列化对象的经典示例，其中密钥库是本地的，等等。

Answer 1

是的，就像您在问题中所说的那样：

RMIClientSocketFactory 必须是可序列化的，并且与 exportObject 一起使用时将序列化到客户端另一端code> 或 UnicastRemoteObject 的构造函数。

这意味着它不能包含对不可序列化对象的（非瞬态）引用，而只能包含动态创建套接字所需的信息。

（我最近发布了RMISocketFactory的示例，我需要请注意可序列化。）

---

编辑（在 EJP 的评论之后）：

当然，这仅适用于如果您需要使用根本就是一个客户端套接字工厂。在许多情况下，您只需使用其他 exportObject 方法（或其他构造函数），然后在服务器端使用默认服务器套接字工厂，在客户端使用默认客户端套接字工厂，而无需序列化任何东西。

是的，将服务器的信任存储序列化到客户端是没有意义的 - 如果客户端必须信任注册表或接受证书的其他远程对象，那么我们就有了中间人攻击的意义。因此 SslRMIClientSocketFactory虽然可序列化，但不会序列化服务器的 SSL 上下文，而只是使用客户端 VM 的 SSL 设置。

Answer 2

在
UnicastRemoteObject.exportObject(...)
你需要指定一个客户端套接字
工厂以及服务器套接字
工厂（如果您使用自定义
当然，根本没有套接字）。

仅当您使用 exportObject() 的重载时，即使如此您也可以提供 null。还有另一种重载，您只需指定端口号。

这是为什么？

事实并非如此。

对象的导出是在服务器端完成的。

正确的。

为什么需要客户端套接字工厂？

事实并非如此。