标签: authentication https oauth-2.0
让我们假设一个HTTPS连接刚刚形成,但是服务器尚不知道客户端是谁。客户端将通过隧道传递一些预先约定的秘密,以向服务器证明其身份。
如果客户端愚蠢到不首先验证服务器身份就发送此秘密,则服务器应担心该秘密可能已泄漏,在这种情况下,它不应接受该秘密作为身份验证。
是否可以使用常用的HTTP(S)工具将服务器编程为以这种方式运行?