RMI sobre SSL / TLS, cualquier forma de identificar a la persona que llama de forma segura?

Question

¿hay alguna manera de conseguir de forma segura el método invocador mientras se ejecuta el método llamado (del lado del servidor)?

Sé que hay una cadena cliente accesible a través de las propiedades del servidor, pero no es demasiado "débil"? ninguna manera de conseguir, por ejemplo, el titular del certificado de cliente?

Por favor, dame un par de consejos, Will RTFD justo después;)

Gracias de antemano

Answer 1

No he pensado en esto demasiado a fondo, pero fuera de la mano, me gustaría sugerir una conexión de un encargo TrustManager que, después de la autenticación de la persona que llama, asocia el certificado de cliente con el hilo de la persona que llama. Esto podría hacerse simplemente con un ThreadLocal, o el uso de la arquitectura de JAAS.

Answer 2

Esta es una de las principales problemas con RMI / SSL. No hay manera de obtener el certificado de pares que no sea a través de código adicional, como la sugerencia de Erickson. Que realmente hace que sea inseguro, ya que no hay manera de realizar un paso de autorización: se obtiene la privacidad, integridad y autenticación, pero sin autorización. Véase mi Libro Blanco para una discusión más amplia.