相关疑难解决方法(0)

我正在尝试在我的Jetty上配置SSL.

我读到这个:http: //docs.codehaus.org/display/JETTY/How+to+configure+SSL 并创建了一个密钥库.

然后,我直接跳到第4节.但是这个配置文件在哪里我应该配置Jetty？

我试图搜索jetty.xml,但我的计算机上没有这样的...

我正在使用jetty版本9.0.0.M4,我正在尝试将其配置为接受SSL连接.按照以下说明操作:http: //www.eclipse.org/jetty/documentation/current/configuring-connectors.html

我设法写了一些有用的东西.但是,我写的代码看起来很丑陋而且不必要地复杂.知道如何正确地做到这一点？

final Server server = new Server(Config.Server.PORT);

SslContextFactory contextFactory = new SslContextFactory();
contextFactory.setKeyStorePath(Config.Location.KEYSTORE_LOCATION);
contextFactory.setKeyStorePassword("******");
SslConnectionFactory sslConnectionFactory = new SslConnectionFactory(contextFactory, org.eclipse.jetty.http.HttpVersion.HTTP_1_1.toString());

HttpConfiguration config = new HttpConfiguration();
config.setSecureScheme("https");
config.setSecurePort(Config.Server.SSL_PORT);
config.setOutputBufferSize(32786);
config.setRequestHeaderSize(8192);
config.setResponseHeaderSize(8192);
HttpConfiguration sslConfiguration = new HttpConfiguration(config);
sslConfiguration.addCustomizer(new SecureRequestCustomizer());
HttpConnectionFactory httpConnectionFactory = new HttpConnectionFactory(sslConfiguration);

ServerConnector connector = new ServerConnector(server, sslConnectionFactory, httpConnectionFactory);
connector.setPort(Config.Server.SSL_PORT);
server.addConnector(connector);

server.start();
server.join();

现在我们的应用程序旨在促进初始加载后通过websockets进行的所有通信.

我们正试图找出一种通过此传输安全传递敏感数据的解决方案.

到目前为止,我们正在考虑以下几点:

1. 通过传回存储在初始加载时通过SSL传递的会话cookie中的唯一哈希来验证websocket传输.

2. 客户端加密使用类似javascript bcrypt实现的方式在传输之前加密所有内容.

3. 即使我们不想,也只需通过SSL通过普通帖子传递所有敏感数据.

像1号这样的东西将是最好的结果,但我们不知道即使在认证之后,如果webokets在中间攻击中容易受到类似人的攻击.

任何帮助消除可能的安全隐患,或任何其他关于如何通过websockets实现真正安全性的想法将不胜感激!