2.8. 集群安全性

PLAIN

BASIC

PLAIN 和 BASIC 是最快的身份验证机制，但它们也是最安全的。您应该仅在与 TLS/SSL 加密结合使用 PLAIN 或 BASIC。

DIGEST 和 SCRAM

摘要

对于 Hot Rod 和 HTTP 请求，DIGEST 方案使用 MD5 哈希算法来哈希凭据，以便不以纯文本形式传输它们。如果您没有启用 TLS/SSL 加密，则使用 DIGEST 的总消耗比 PLAIN 或 BASIC 减少，但并不安全，因为 DIGEST 会受到 monkey-in-the-middle (MITM)的攻击和其他入侵。

对于 Hot Rod 端点，SCRAM 方案与具有额外级别保护的 DIGEST 类似，但需要更长时间完成的额外处理。

GSSAPI / GS2-KRB5

SPNEGO

Kerberos 服务器、密钥分发中心(KDC)处理身份验证并向用户发布令牌。Data Grid 性能得益于独立系统处理用户身份验证操作的事实。但是，这些机制可能会导致网络瓶颈，具体取决于 KDC 服务本身的性能。

OAUTHBEARER

BEARER_TOKEN

联合实施 OAuth 标准的身份提供程序，以向 Data Grid 用户发出临时访问令牌。用户使用身份服务进行身份验证，而不是直接向 Data Grid 进行身份验证，而是将访问令牌作为请求标头传递。与直接处理身份验证相比，Data Grid 的性能损失较低，以验证用户访问令牌。与 KDC 类似，实际性能影响取决于身份提供程序本身的服务质量。

EXTERNAL

CLIENT_CERT

您可以为 Data Grid 服务器提供信任存储，以便它通过比较客户端与信任存储中存在的证书来验证入站连接。

如果信任存储只包含签名证书（通常是证书颁发机构(CA)），则提供 CA 签名的证书的任何客户端都可以连接到 Data Grid。这提供了较低的安全性，并容易受到 MITM 攻击的影响，但比验证每个客户端的公共证书要快。

如果信任存储除签名证书外还包含所有客户端证书，则只有在信任存储中存在的签名证书的客户端可以连接到 Data Grid。在这种情况下，Data Grid 将来自客户端提供的证书的通用通用名称(CN)与信任存储进行比较，除了验证证书是否已签名，增加更多的开销。