假设您有一个相互SSL服务,除了SSL外,还具有应用程序身份验证。因此,客户端提供证书(以及服务器),但客户端请求(例如REST请求)还包含后端应用程序服务器进行身份验证的用户名/密码。
在客户端身份验证的“程度”方面,似乎存在多个级别。一级(a)仅是客户端提供由服务器CA存储库中签名的证书。另一个明显的级别(b)是要求服务器执行(a)并确保应用凭据正确。第三个级别(c)是执行(a)和(b),并确保客户端证书与账户唯一关联。
(c)的好处在于防止受“受信任的CA”信任的人滥用非法获取的应用程序密码。
我意识到这一切都很不可能,但我想知道相互SSL中假定了多大程度的(c),而不仅仅是(a)或(b)?
在客户端身份验证的“程度”方面,似乎存在多个级别。一级(a)仅是客户端提供由服务器CA存储库中签名的证书。另一个明显的级别(b)是要求服务器执行(a)并确保应用凭据正确。第三个级别(c)是执行(a)和(b),并确保客户端证书与账户唯一关联。
(c)的好处在于防止受“受信任的CA”信任的人滥用非法获取的应用程序密码。
我意识到这一切都很不可能,但我想知道相互SSL中假定了多大程度的(c),而不仅仅是(a)或(b)?