2.8. 集群安全性

PLAIN

BASIC

虽然 PLAIN 和 BASIC 是最快的身份验证机制，但它们也是最低的安全性。您应该只使用 PLAIN 或 BASIC 与 TLS/SSL 加密结合使用。

DIGEST 和 SCRAM

摘要

对于 Hot Rod 和 HTTP 请求，DIGEST 方案使用 MD5 哈希算法来哈希凭据，以便它们不会以纯文本传输。如果您没有启用 TLS/SSL 加密，则使用 DIGEST 的资源密集型低于 PLAIN 或 BASIC，但不受保护，因为 DIGEST 容易受到 monkey-in-the-middle (MITM)攻击和其他入侵的影响。

对于 Hot Rod 端点，SCRAM 方案与 DIGEST 类似，它带有额外的保护级别，但需要额外的处理需要更长的时间完成。

GSSAPI / GS2-KRB5

SPNEGO

Kerberos 服务器密钥分发中心(KDC)，为用户处理身份验证和签发令牌。数据中心的性能从独立系统处理用户身份验证操作的事实中受益。但是，这些机制可以根据 KDC 服务本身的性能造成网络瓶颈。

OAUTHBEARER

BEARER_TOKEN

联邦身份提供程序，实施 OAuth 标准，为 Data Grid 用户发出临时访问令牌。用户使用身份服务进行身份验证，而不是直接向 Data Grid 进行身份验证，而是将访问令牌作为请求标头传递。与直接处理身份验证相比，Data Grid 的性能损失较低来验证用户访问令牌。与 KDC 类似，实际性能影响取决于身份提供程序本身的服务质量。

EXTERNAL

CLIENT_CERT

您可以向 Data Grid 服务器提供信任存储，以便它通过比较客户端与信任存储中存在的证书来验证入站连接。

如果信任存储只包含签名证书（通常是证书颁发机构(CA)），则任何提供 CA 签名的证书的客户端都可以连接到 Data Grid。这提供了较低的安全性，并容易受到 MITM 攻击，但比验证每个客户端的公共证书要快。

如果信任存储还包含除签名证书外的所有客户端证书，则只有存在信任存储中签名的证书的客户端才可以连接到 Data Grid。在这种情况下，Data Grid 将客户端提供的证书中的常用通用名称(CN)与信任存储进行比较，同时验证证书是否已签名，从而增加更多开销。