我有一个以用户身份运行的应用程序' U'访问多个Web服务(托管在不同的Web服务器上)S1,S2等。我想要一种安全的方式来验证用户' U'在S1,S2等所有服务上,我可以控制应用程序和服务。以下是我考虑过针对此场景进行身份验证的设计。
我计划拥有一对非对称密钥。私钥将被保护并且仅对应用/用户可访问,而公钥将与所有服务S1,S2共享。访问服务时,它将发送使用私钥加密的消息,如果服务能够使用服务器端的公钥成功解密消息,则会将用户进行身份验证/识别为U.
请建议这是否是一个好方法。欢迎任何反馈。
提前致谢
答案 0 :(得分:1)
有一种标准的方法,称为相互身份验证/客户端身份验证/双向SSL。 https://www.codeproject.com/Articles/326574/An-Introduction-to-Mutual-SSL-Authentication