0

我有一个 Web 应用程序,我在其中使用 Spring API 来获取证书中的主体信息以检查有效用户。

假设部署它的应用服务器包含包含 CA 证书的信任库,并将根据请求客户端的证书验证传入请求的真实性,然后才将其发送到应用程序。

因此,我没有验证证书的内容,只是验证了证书中的公用名(主体)部分。现在,如果我想在应用程序中编写自己的信任管理器,以根据 CA 的证书验证证书,我如何在 Spring 中实现相同的目标?

我知道我需要编写自定义信任库管理器并覆盖 checkClientTrusted 方法,但不知道该怎么做以及应该如何配置 Spring 以使用此自定义 Trustmanager.. 有人知道该怎么做吗?

谢谢

诺西布

4

1 回答 1

0

您不需要信任经理。您只需要在请求期间获取证书。它可作为请求属性使用:请参阅 Servlet Secification。

您通常在 Internet 上看到的自定义信任管理器实际上是重大的安全漏洞,由不了解问题或他们根本不安全的“解决方案”的含义的人犯下。

于 2012-05-23T21:44:33.347 回答