gpt4 book ai didi

authentication - 如何防止客户端检索我的服务器证书

转载 作者:太空宇宙 更新时间:2023-11-03 15:09:14 25 4
gpt4 key购买 nike

我有一个用于移动客户端的安全 API。我想执行证书固定并且我实现了它。问题是如果运行命令 openssl s_client -connect xxx.xxxxxxxxx.com:443 那么我可以看到我的证书。我相信无论谁知道 URL,他们也可以看到证书并连接到我的 API。

如何防止访问我的证书,以便只有我的手机可以访问但不能公开?

最佳答案

任何连接到 SSL/TLS 服务器的人都可以查看服务器的证书,因为它是公开的。这是正常行为。

但这并不意味着它可以连接到您的 API。通常会添加一种身份验证机制,连接者必须提供凭据,例如 user/password

使用 SSL/TLS 还可以要求客户端证书来建立安全通道。这称为双向身份验证。但由于电子证书分发困难,通常不在移动设备上使用

如果您还没有这样做,我建议您为您的 api 添加身份验证

关于authentication - 如何防止客户端检索我的服务器证书,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45366087/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com