我正在开发一个与后端服务通信的桌面应用程序,并且一切正常。我的应用程序通常会将用户ID证书以及签名的文档发送到服务器进行验证。
但是,我希望我的应用程序创建一个QR码,可以由我的应用程序的其他用户扫描,但是扫描的数据是由他们的私钥签名的。
使用传统应用程序时,我可以简单地将最终用户证书以及中间证书和签名文档一起上传。
问题是,当我使用QR码时,日期太多了。
现在,我的想法是仅在QR码中包含签名日期,并且我的应用程序将在创建QR码时上传证书(并将位置或证书ID包含在签名数据中)。
然后,当用户扫描QR码时,我的应用程序将要求后端服务查找并下载最终用户证书并验证签名等。
我最初的想法是,这与在生成签名文档时包括证书一样安全,而且我也看不出这样做的安全性如何。
我对此是否正确?
预先感谢 问候 史蒂夫