gpt4 book ai didi

security - 相互 SSL - 多少身份验证就足够了?

转载 作者:太空宇宙 更新时间:2023-11-03 12:47:13 31 4
gpt4 key购买 nike

假设您有一个相互 SSL 服务,除了 SSL 之外,它还有应用程序身份验证。因此,客户端提供证书(以及服务器),但客户端请求(例如 REST 请求)还包含后端应用程序服务器用于验证的用户名/密码。

就客户端认证的“程度”而言,似乎有多个层次。一级 (a) 只是让客户端提供由服务器 CA 存储中的 CA 签名的证书。另一个明显的级别 (b) 是服务器执行 (a) 并确保应用程序凭据正确。第三个级别 (c) 是做 (a) 和 (b) 加上确保客户证书与帐户唯一关联。

(c) 的好处是它可以防止“受信任的 CA”信任的人滥用非法获得的应用程序密码。

我意识到这不太可能,但我想知道在多大程度上 (c) 被假定为相互 SSL 的一部分,而不是简单的 (a) 或 (b)?

最佳答案

是的,我在想something similar .

您可以做的一件事是为您的应用程序提供一个不包含任何 CA 的独立信任库。通过这种方式,您可以只向具有您已授权的自签名证书的客户端授予访问权限。

关于security - 相互 SSL - 多少身份验证就足够了?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1712855/

31 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com