2015-02-24 190 views
0

我有一个使用客户端身份验证的web应用程序,客户端身份验证(SSL)直通?

我的问题:网络应用程序需要与第三方RESTful服务进行交互。 Kicker:该服务需要使用Web应用程序使用的相同证书进行客户端身份验证。基本上,Web应用程序将代表登录到我的Web应用程序的用户进行这些RESTful调用。

我不认为这是可能的,没有在Web应用程序中访问私钥。我错过了什么?

感谢您提供任何帮助。

+1

你是对的。网络应用程序必须具有自己的身份,以RESTFul应用程序,自己的证书,密钥对等。 – EJP 2015-02-24 02:24:01

+0

酷,计算。感谢您的确认。 – sethmuss 2015-02-24 02:25:24

回答

-1

因此,您的担心是将您的应用程序的安全性暴露给第三方服务? 我很困惑第三方服务如何知道认证与您的Web应用程序为用户生成的认证相同。你能提供一些关于第三方服务的更多信息吗?我从来没有见过第三方服务会要求用户提供与您的应用有关的信息,但通常所有参与方都会通过路由或其他方式生成共享证书。 这听起来像应用程序正在打一个公共API,如果应用程序代表用户发出所有请求,那么您只需将您的应用程序的信息包装到每个请求中,然后再点击它们的服务,这样用户就不会看到任何东西。我不认为有必要让用户访问它们。我误解了这个问题吗?

+0

第三方实际上将证书列入白名单。我只是使用它们,因为它们已经存在。第三方不关心应用程序,只是用户。我的商业案例是一种增加第三方服务提供的价值的网络应用程序。问题是成功打开HTTPS连接进行客户端身份验证我需要每个用户的私钥... – sethmuss 2015-02-24 04:32:59

+0

有三个问题,没有答案。应该作为评论发布。 – EJP 2015-02-24 09:27:27

+0

我是新来堆栈,它不让我= / – Datise 2015-02-24 20:01:11

相关问题