如果我使用SSL客户端证书对我的客户端进行身份验证,那么它是否必须是站点范围的过滤器,或者我是否要求或不要求应用程序中的每个URL进行身份验证?所以我想
https://mysite.com/my_url并不关心客户是谁,只是使用“普通”https https://mysite.com/my_sensitive_url要求客户端使用有效的客户端证书
我正在使用Ruby on Rails,但我对SSL客户端证书身份验证是否足够灵活的一般性问题感兴趣。我可以想象一个手写的apache conf与不同的URL的不同设置可能会这样做,但我真的更喜欢在应用程序级别定义这种东西。
答案 0 :(得分:2)
您可以(a)将服务器设置为通过SSL证书进行身份验证; (b)将服务器设置为“想要”而不是“需要”SSL客户端身份验证,然后(c)为需要用户登录的特定URL或模式定义访问规则,而不是其他人。< / p>