razor
2011-03-21 10:15:33 UTC
Witam.
Piszę aplikację typu klient-serwer. komunikacja przez WebService'y
(java + xwss)
Klienci będą podpisywali nagłówki SOAP z użyciem prywatnych kluczy,
serwer posiada klucz publiczny.
W ten sposób mam pewność że klient może się łączyć z serwerem ? czy
dobrze rozumuję ?
transmisji nie szyfruję ponieważ odbywa się po VPN.
ta infrastruktura zapewnia aplikacji pewność że łączą się z serwerem
tylko klienci którzy powinni, a teraz pytanie:
Jak dodatkowo rozpoznawać konkretnego klienta? w tym momencie każdy
klient wysyła jakiś kod (ma go w konfiguracji), ale po co ma to robić,
skoro każdy kluczy prywatnych jest unikalny i mógłby identyfikować
klienta.
Jakie dane mogę użyć do takiej identyfikacji ?
odcisk SH1 klucza? wartość sygnatury certyfikatu ? czy któraś z tych
danych jest przesyłana w podpisanym nagłówku SOAP?
oczywiście po stronie serwera te skróty,wartości (czy coś co było by
potrzebne), trzymane byłyby w bazie i na tej podstawie wiadomo by
było, który klient się połączył.
pozdr
raaz
Piszę aplikację typu klient-serwer. komunikacja przez WebService'y
(java + xwss)
Klienci będą podpisywali nagłówki SOAP z użyciem prywatnych kluczy,
serwer posiada klucz publiczny.
W ten sposób mam pewność że klient może się łączyć z serwerem ? czy
dobrze rozumuję ?
transmisji nie szyfruję ponieważ odbywa się po VPN.
ta infrastruktura zapewnia aplikacji pewność że łączą się z serwerem
tylko klienci którzy powinni, a teraz pytanie:
Jak dodatkowo rozpoznawać konkretnego klienta? w tym momencie każdy
klient wysyła jakiś kod (ma go w konfiguracji), ale po co ma to robić,
skoro każdy kluczy prywatnych jest unikalny i mógłby identyfikować
klienta.
Jakie dane mogę użyć do takiej identyfikacji ?
odcisk SH1 klucza? wartość sygnatury certyfikatu ? czy któraś z tych
danych jest przesyłana w podpisanym nagłówku SOAP?
oczywiście po stronie serwera te skróty,wartości (czy coś co było by
potrzebne), trzymane byłyby w bazie i na tej podstawie wiadomo by
było, który klient się połączył.
pozdr
raaz