Tôi muốn định cấu hình máy trong mạng của mình để chấp nhận tất cả cuộc gọi từ một máy cụ thể mà không cần xác thực. Đối với điều này tôi đang lập kế hoạch để sử dụng địa chỉ IP của máy khách như là yếu tố tin tưởng cần thiết để cho phép xác thực không được kiểm soát.Có thể xác định chính xác địa chỉ IP của ứng dụng khách trong java servlet
Mối quan tâm của tôi là có thể xác định chính xác địa chỉ IP của ứng dụng khách trong một servlet java? Có thể là IP mà tôi nhận được trong servlet có thể được thay đổi bởi một số cơ chế hacking để làm cho máy chủ của tôi tin rằng đó là IP đáng tin cậy?
Ví dụ: nếu máy chủ của tôi được định cấu hình để tin tưởng 192.168.0.1, thì có thể một số ứng dụng khách khác không phải là 192.168.0.1 giả vờ là 192.168.0.1 và đánh lừa cơ chế xác thực của tôi không?
và +1 để đề cập đến tiêu đề XFF và khả năng cho nó là rỗng – stevevls
xác thực ứng dụng khách hoạt động như thế nào? khách hàng có thể gửi một chứng chỉ tương tự như những gì máy chủ gửi trong giao tiếp https để xác định chính nó, bạn có thể vui lòng cung cấp một số chi tiết về điều này không. – Ashish
Bạn có thể tạo chứng chỉ ứng dụng khách tự ký và cài đặt nó trên kho khóa máy của máy khách (bạn có đang sử dụng Java trong máy khách của mình không?). Sau đó, máy chủ của bạn chỉ nên chấp nhận các yêu cầu được ký bởi chứng chỉ ứng dụng khách từ một CA đã cho (chính bạn, trong trường hợp này). Có rất nhiều tài liệu liên quan đến chứng chỉ Java + client trên web. Ngoài ra, có một cái nhìn tại excelent [Wikipedia entry] (http://en.wikipedia.org/wiki/Transport_Layer_Security) trên TLS cho những điều cơ bản. – Viccari