【发布时间】:2011-12-15 09:45:41
【问题描述】:
客户端证书是否可以在没有 HTTPS 的情况下用于身份验证,只能在具有 ASP.NET 的 Windows IIS 平台上通过 HTTP 进行身份验证?
我需要使用数字证书对客户端进行身份验证,但我无法使用 HTTPS。
【问题讨论】:
标签: asp.net http iis authentication client-certificates
【发布时间】:2011-12-15 09:45:41
【问题描述】:
不,您不能,至少如果客户端是网络浏览器。而且,它没有任何意义。
【讨论】:
-
感谢您的快速回复!你能再给我解释一下吗,为什么没有意义?如果我想知道客户是谁,但我不想要安全渠道
-
如果你没有一个安全的通道,那么每个人都可以窃取客户的身份,你将不知道是真正的客户还是黑客窃取了客户的身份。
-
@kan,你的答案并不完全正确,请检查:stackoverflow.com/questions/6636499/…
-
@KeesC.Bakker 为什么?您提到的问题仅涉及 WS-Security。 WS 不是网络浏览器。一种方法是:使用 JavaScript 实现 X.509,但我不确定它是否会工作,至少由于性能问题。并且不确定客户端如何向 JavaScript 提供客户端证书。
-
@kan - 虽然它需要自定义解决方案,但肯定有一点。如果有人无法使用 SSL(例如由于 IP 地址限制),使用客户端证书仍然允许通过 HTTP 进行安全身份验证,方法是使用用户的公钥加密质询并返回到使用服务器公钥加密的服务器,然后由客户的私钥签名。