我有Android应用程序,使用http get和.net管理,使用自签名服务器证书(但不需要客户端证书)在https上运行.net 2 webservice(IIS7)。 我看到所有的http流量都是加密的,看起来很安全 现在我有什么选择如何验证客户端?例如,我喜欢在PC上阻止来自Internet Explorer的Web服务访问。
描述客户端身份验证的TLS握手here是一种方法吗? 那我该怎么做呢?一些建议或例子将不胜感激。
答案 0 :(得分:0)
好吧,鉴于每个用户无论如何都要进行身份验证,您可能会出于各种原因设置某种每用户身份验证策略。首先,鉴于这可能是一个广泛分布的应用程序,拥有一个“黄金大师”身份验证证书或凭证最终会失败,因为有人会破解它 - 要么获取证书,要么抓住帐户。然后你做了什么?其次,它并不是特别难以处理。您可以轻松使用ASP.NET成员资格来支持它,然后根据服务的性质以多种方式获取凭据。第三,它比客户证书更容易管理。