1

我有一个 Java Web Start 应用程序,它通过 Web 服务(通过 https)与我的服务器通信。我想将 web 服务的使用限制在我的应用程序中,以便 3rd 方应用程序不起作用。

我有什么策略?这个问题有点宽泛,但是在 JWS 中运行会禁用一些选项,例如对所有 jar 进行校验和(至少我不知道在 JWS 环境中执行此操作的方法)。

我总是可以实现自己的身份验证方案,但由于客户端代码在客户端,因此总是可以反汇编类文件并破解身份验证机制。

4

1 回答 1

3

请记住,如果客户端通过 https 与服务器通信,则用户可以轻松地将 JWS 客户端替换为也通过 https 进行通信的其他东西。JWS 客户端可以发送以“证明”其身份的任何内容都可以很容易地被伪造。您可以使用客户端证书(或许多其他类型的身份验证)来确保只有有权访问 JWS 客户端的用户才能连接,但他们始终能够从 JWS 客户端提取他们需要的内容以连接其他内容。

需要根据用户应该被允许做什么来保护服务

于 2009-09-30T16:14:58.900 回答