【发布时间】:2018-07-28 01:15:44
【问题描述】:
是否可以使用证书指纹来验证和唯一标识用户?以下是我试图解决的用例:
我计划公开预计将由基于 WPF 客户端的应用程序使用的基于休息的端点。此外,客户端机器预计将安装为新客户端创建的 X509 证书,作为入职过程的一部分。证书指纹和用户映射是我计划安全存储的内容(比如使用 azure key vault)
现在,只要收到 API 服务请求 - 我的身份验证管理器将提取与该 http 请求一起附加的证书,并将使用相应的指纹从映射存储中获取用户信息,如上所述。
如果未找到匹配项 - 服务器将返回 http 401 未授权状态代码。
我想了解在整个用户认证过程中是否存在任何不足、漏洞或缺陷?
附加信息:服务使用 ASP.NET MVC 应用程序框架构建并托管在 IIS 上。
注意:请不要建议基于 AAD/令牌的身份验证 - 我已经评估了这些选项并决定不采用(不是因为任何技术挑战,而是因为我无法解释的因素在这里)
【问题讨论】:
标签: asp.net-mvc authentication x509certificate client-certificates