Dubbo3 序列化協(xié)議安全

在 Dubbo 中更安全的使用序列化協(xié)議

Dubbo3.0在序列化協(xié)議安全方面進(jìn)行了升級加固，推薦使用Tripe協(xié)議非Wrapper模式。 該協(xié)議默認(rèn)安全，但需要開發(fā)人員編寫IDL文件。

Triple協(xié)議Wrapper模式下，允許兼容其它序列化數(shù)據(jù)，提供了良好的兼容性。但其它協(xié)議可能存在反序列化安全缺陷，對于Hession2協(xié)議，高安全屬性用戶應(yīng)當(dāng)按照samples代碼指示，開啟白名單模式，框架默認(rèn)會開啟黑名單模式，攔截惡意調(diào)用。

不建議使用其它序列化協(xié)議，當(dāng)攻擊者可訪問Provider接口時(shí)，其它序列化協(xié)議的安全缺陷，可能導(dǎo)致 Povider 接口命令執(zhí)行。

若必須使用其它序列化協(xié)議，同時(shí)希望具備一定安全性。應(yīng)當(dāng)開啟Token鑒權(quán)機(jī)制，防止未鑒權(quán)的不可信請求來源威脅Provider的安全性。開啟Token鑒權(quán)機(jī)制時(shí)，應(yīng)當(dāng)同步開啟注冊中心的鑒權(quán)功能。