是否有公认的最佳实践来保护从外部应用程序访问 Weblogic JNDI(特别是 JDBC)服务?
主要动机是试图阻止人们不小心将 QA 代码指向生产机器,但显然还有保护端口免受不受欢迎的访问者(内部网络上的其他主机)的问题。
想法是任意客户端不能只连接到:
t3://importantprodhost.mycompany.com:7001
并获取作为我们数据库代理的远程 JDBC/JNDI 存根之一
我确实找到了这个似乎相关的链接WebLogic.runAs(),但我希望不要将所有内容都作为调用来运行。
我的猜测是,一个人只能通过 HTTPS 公开 JNDI 服务并使用证书进行身份验证(不会在 QA 机器上),但还没有找到具体/简单的示例,所以我不知道这是否实际上会起作用。
出于这个问题的目的,请假设我们需要访问(即我们无法将其关闭)-我们只想对其进行身份验证,并且我们无法部署任何网络级别(例如防火墙)来解决问题.