Rest Web Service中的双向SSL / TLS身份验证

Question

我将揭露我的情况。我有一个在Apache Tomcat 7.0上运行的REST应用程序。问题是我想在其余的API服务器上进行身份验证和创建客户端角色，以便允许用户做出某些操作。客户端的身份验证和角色将由客户端必须发送到服务器的SSL / TLS客户端证书确定。

战略是：

• Rest Client应用程序向服务器发送请求。
• 客户除了发布邮件请求的操作外，还发送自己的SSL / TLS证书（我不知道如何）。
• Rest Web Service从客户端接收此请求，对其进行处理并使用SSL / TLS证书确定客户端角色，以便回答是否允许操作请求。

这可行吗？任何人都可以帮助一些教程或其他帖子吗？

Answer 1

我们在REST服务中采用了HMAC身份验证。 好读：http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/