我有一个Java Web Start应用程序,它通过Web服务(通过https)与我的服务器通信。 我想将webservice的使用仅限于我的应用程序,以便第三方应用程序无法正常工作。
我有什么策略?这个问题有点宽泛,但在JWS中运行会禁用一些选项,比如对所有jar进行校验和(至少我不知道在JWS环境中这样做的方法)。
我总是可以实现自己的身份验证方案,但由于客户端代码位于客户端,因此总是可以反汇编类文件并破解身份验证机制。
答案 0 :(得分:3)
请记住,如果客户端通过https与服务器通信,则用户可以使用通过https进行通信的其他内容轻松替换JWS客户端。 JWS客户端发送的“证明”其身份的任何内容都可以很容易地伪造。您可以使用客户端证书(或许多其他类型的身份验证)来确保只有具有JWS客户端访问权限的用户才能连接,但他们始终能够从JWS客户端提取他们需要的东西以连接其他东西。
服务需要根据用户应该允许的内容进行保护。