我有一个Web应用程序,我在其中使用Spring API来获取证书中的主要信息以检查有效用户。
假设部署了它的app服务器包含包含CA证书的信任存储,并根据请求客户端的证书验证传入请求的真实性,然后才将其发送给应用程序。
因此我没有验证证书的内容,只是验证证书中的公共名称(主要)部分。现在,如果我想在应用程序中编写我自己的信任管理器,以根据CA的证书验证证书,我如何在Spring中实现相同的功能?
我知道我需要编写自定义信任库管理器并覆盖checkClientTrusted方法,但不知道如何操作以及如何配置Spring以使用此自定义Trustmanager。有人知道如何执行此操作吗?
感谢
Nohsib
答案 0 :(得分:0)
您不需要信任经理。您只需要在请求期间获取证书。它可用作请求属性:请参阅Servlet Secification。
您通常在互联网上看到的自定义信任管理员实际上是主要的安全漏洞,由那些不了解问题或者他们根本不安全的“解决方案”的影响的人实施。