【发布时间】:2012-03-26 07:45:20
【问题描述】:
我正在通过 RMI 进行服务器到服务器的身份验证。有应用服务器(服务器部分)和几个通过 RMI 通信的 Web 服务器(客户端部分)。 Web 服务器必须在应用服务器上进行身份验证。最简单的方法是使用存储在网络服务器配置文件(明文)中的密码,但这显然是非常糟糕的做法。
我的想法是使用在网络服务器(客户端)上生成的公钥/私钥。 privateKey 存储在 keystore 中,publicKey 发布到应用服务器。为了验证客户端,生成的随机字符串使用 privateKey(创建签名)进行签名,并且签名和字符串都发送到服务器。服务器使用签名验证字符串,它是 publicKey。
好主意吗?
我知道这不是很安全,但比存储明文密码更好。
对此有什么建议吗?
无需使其 100% 安全,这只是密码保护的一个很好的替代方案。
谢谢,祝你有美好的一天。
【问题讨论】:
标签: java authentication keystore