1

Webサービス(https経由)を介してサーバーと通信するJavaWebStartアプリケーションがあります。サードパーティのアプリが機能しないように、Webサービスの使用を自分のアプリのみに制限したいと思います。

私にはどのような戦略がありますか?この質問はやや広範ですが、JWSで実行すると、すべてのjarに対してチェックサムを実行するなど、いくつかのオプションが無効になります(少なくとも、JWS環境でこれを実行する方法はわかりません)。

私はいつでも独自の認証スキームを実装できますが、クライアントコードはクライアント側にあるため、いつでもクラスファイルを逆アセンブルして認証メカニズムを解読できます。

4

1 に答える 1

3

クライアントがhttpsを介してサーバーと通信している場合、ユーザーはJWSクライアントをhttpsを介して通信する他のクライアントに簡単に置き換えることができることに注意してください。JWSクライアントがそのIDを「証明」するために送信できるものはすべて、非常に簡単に偽造される可能性があります。クライアント証明書(または他の多くの種類の認証)を使用して、JWSクライアントにアクセスできるユーザーのみが接続できるようにすることができますが、他のユーザーと接続するためにJWSクライアントから必要なものをいつでも抽出できます。

ユーザーに許可する内容に基づいて、サービスを保護する必要があります。

于 2009-09-30T16:14:58.900 に答える