我要公开我的情况。我有一个在 Apache Tomcat 7.0 上运行的 REST 应用程序。问题是我想在其余 API 服务器上验证和创建客户端角色,以便允许用户执行某些操作或不执行某些操作。客户端的身份验证和角色将由客户端必须发送到服务器的 SSL/TLS 客户端证书确定。
策略是:
- Rest Client 应用程序向服务器发送请求。
- 客户端除了发送对发布请求的操作外,还发送他自己的 SSL/TLS 证书(我不知道如何)。
- Rest Web 服务从客户端接收此请求,对其进行处理并使用 SSL/TLS 证书确定客户端角色,以便回答是否允许操作请求。
这可行吗?有人可以帮忙提供一些教程或其他帖子吗?
最佳答案
我们在 REST 服务中采用了 HMAC 身份验证。 好读:http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/
关于java - Rest Web 服务中的双向 SSL/TLS 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26765891/