java中的细粒度身份验证
在应用程序的“受信任”部分中,是否有一种方法来定义javax.crypto.Cipher调用的作用域?我想确保java中的细粒度身份验证,java,security,cryptography,Java,Security,Cryptography,在应用程序的“受信任”部分中,是否有一种方法来定义javax.crypto.Cipher调用的作用域?我想确保cipher.init和cipher.doFinal只发生在程序的“授权”部分,因此这些调用的指纹可能成为密钥的一部分?您可以使用策略文件对某些方法实施限制:有关策略文件的详细信息,请参阅。我不确定安全管理器是否可以涵盖这些方法,但值得一试。您可以使用策略文件对某些方法实施限制:有关策略文件的详细信息,请参阅。我不确定安全管理器是否能够涵盖这些方法,但值得一试。您表示希望在密钥中包含调用
cipher.init
和cipher.doFinal
只发生在程序的“授权”部分,因此这些调用的指纹可能成为密钥的一部分?您可以使用策略文件对某些方法实施限制:有关策略文件的详细信息,请参阅。我不确定安全管理器是否可以涵盖这些方法,但值得一试。您可以使用策略文件对某些方法实施限制:有关策略文件的详细信息,请参阅。我不确定安全管理器是否能够涵盖这些方法,但值得一试。您表示希望在密钥中包含调用路径。通过在调用特权函数时包含唯一的私有参数,并将其合并到密钥中,可以轻松地限制有效密钥的创建
这将消除对代码结构的依赖,同时仍将呼叫位置链接到授权。当然,您现在有另一个需要保护的关键组件
如果您可以信任应用程序部署不会被破坏,则本机策略实现可能就足够了。您表示希望在密钥中包含调用路径。通过在调用特权函数时包含唯一的私有参数,并将其合并到密钥中,可以轻松地限制有效密钥的创建 这将消除对代码结构的依赖,同时仍将呼叫位置链接到授权。当然,您现在有另一个需要保护的关键组件
如果您可以信任应用程序部署不会被破坏,那么本机策略实现可能就足够了。最好确保保护密码和密钥实例(例如,确保使用反射无法访问它们)。为什么不允许程序的某些部分使用加密?最好确保保护密码和密钥实例(例如,确保使用反射无法访问它们)。为什么不允许程序的某些部分使用加密?