我正在为我的NodeJS API开发一种身份验证方法。 我正在使用TLS证书来验证连接到我的API服务器的客户端。 我的问题是:我们可以采用一种方法来将响应身份验证回客户端吗?我们可以为此使用cert(服务器到客户端)吗?
例如:当我们从客户端调用API时,我们将发送带有已验证请求的证书,如果服务器发送响应,如果服务器认为有效,我们可以反过来发送证书作为响应并让客户端验证证书。
答案 0 :(得分:0)
整个TLS协议和证书已经基于您信任服务器的想法建立。即在建立TLS连接期间,服务器提供了一个证书,客户端可以通过检查服务器是否信任已颁发证书的CA来对其进行验证。
现在,尽管通常如此,但是您可以拥有一些库,这些库可以通过不检查证书或不检查而是继续进行来绕过此操作,因此您必须仔细检查并非如此。浏览器会自动执行此操作。
如果您点击Chrome中URL左侧的绿色“安全”按钮,例如您可以在此处单击“证书”,然后查看服务器提供的证书。如果是绿色,则表示它是可信任的,并且一切都很好。
P.S。客户端或服务器都不会始终随每个请求/响应来回发送证书。他们在建立称为TLS握手的连接期间仅执行一次。这是一个相对昂贵的过程,所以您最好保持连接。