我正在创建一个SOA系统,其中服务器A通过SSL / TLS连接到服务器B.
我可以使用API令牌来确保A是他们所说的人。但由于我正在使用TLS,而服务器A有Verisign颁发的X.509证书,证明它们是谁,使用证书似乎是有意义的。
因此,高级身份验证工作流程将是:
我想在应用程序外部执行此操作,尽可能在网络堆栈的最低级别执行此操作。可能是一个Apache配置指令,可能会说:
DropUnlessX509CertificateNameMatches XXXXXXXXX
这与API令牌身份验证有什么缺点吗?