安全验证了RMI

Question

我想这样

interface RemoteService extends Remote { ... } 
interface RemoteServiceProvider extends Remote { ... } 
class RemoteServiceProviderImpl implements RemoteServiceProvider { 
    RemoteService getService(String authCode) throws RemoteException { 
    if (check(authCode)) return (RemoteService) UnicastRemoteObject.export(theRemoteService, 0); 
    else throw ...; 
    } 

} 

来验证我的RMI服务的用户。然而，这可能不是真正的安全。我怀疑当真实的服务是export ed时，任何猜测正确端口的人都可以获得它。

我该如何正确地做到这一点？

Answer 1

它看起来像是什么时候真实的服务被导出，任何人都猜测正确的端口可以获得它。

不需要。他们还需要猜测一个远程对象ID，并且有一个系统属性使它们通过安全的RNG生成。他们还必须具有远程接口类，并且他们还必须能够使用正确的IP：端口，远程接口和远程UID构造远程存根到对象。不容易。但是，如果您有严重的安全问题，那么您肯定应该考虑使用SSL进行相互身份验证，并且如果您对安全RMI完全严格认真，可能需要完整的Jini/Secure JERI。另见this white paper。