如果我使用SSL客户端证书对我的客户端进行身份验证,是否必须是站点范围的过滤器,或者我是否可以要求或不要求应用程序内的每个URL进行身份验证?所以我想仅针对某些URL的SSL客户端证书认证?
https://mysite.com/my_url不关心客户是谁,只是用“正常的” https https://mysite.com/my_sensitive_url要求客户端使用一个有效的客户端证书
我在工作的Ruby on Rails的,但我对SSL客户端证书认证是否足够灵活的一般问题感兴趣。我可以想象,为不同的URL设置不同的手写apache conf可能可以做到,但我更愿意在应用程序级别定义这种类型的东西。
练习:通过不需要客户端证书即可完成(在SSL级别)。然后,在客户端发送包含URL的HTTP请求之后,服务器可以继续保持原样,或者重新协商SSL连接,并且此时需要('需要'或'需要')客户端证书。 – 2016-05-05 16:34:51