【发布时间】:2010-12-15 07:59:28
【问题描述】:
假设您有一个相互 SSL 服务,除了 SSL,它还具有应用程序身份验证。因此,客户端提供证书(以及服务器),但客户端请求(例如,REST 请求)还包含后端应用程序服务器进行身份验证的用户名/密码。
就客户端认证的“度”而言,似乎有多个级别。一个级别 (a) 只是让客户端提供由服务器 CA 存储中的 CA 签名的证书。另一个明显的级别 (b) 是让服务器执行 (a) 并确保应用程序凭据正确。第三级 (c) 是执行 (a) 和 (b) 并确保客户端证书与帐户唯一关联。
(c) 的好处是它可以防止“受信任的 CA”信任的人滥用非法获得的应用程序密码。
我意识到这不太可能,但我想知道 (c) 在多大程度上被假定为相互 SSL 的一部分,而不是简单的 (a) 或 (b)?
【问题讨论】:
-
这三个都需要,还需要第四个完整步骤:授权,,即该用户是否有权访问应用程序的这一部分?
标签: security authentication ssl authorization ssl-certificate