TLDR:我正在寻找基于软件的双因素身份验证系统。
总结:我正在尝试找到一个等效于 SSL 客户端证书的解决方案,除了该证书最好在浏览器首次连接到服务器时生成。
长版: 我想使用 PKCS#11 样式的身份验证系统自动生成安全 token ,以便当用户使用某个网站的特定登录代码时,该计算机始终可以连接到用户的页面(不需要用户名)。
我也不能要求 PKCS#12 样式的证书,它需要 5-10 个步骤才能在客户端的浏览器中安装,尤其是因为证书安装可能会被锁定。此请求的目的是探索浏览器以无缝方式提供真实的双因素身份验证的能力。目前,似乎只有 sun 在谈论 PKCS#11,浏览器对客户端证书的支持很难快速解释。
作为警告,谈论浏览器内部的 PKCS#11 可能是不正确的,或者可能是 PKCS#15 的功能。我怀疑我在这里问的问题不对。如有任何建议,我们将不胜感激。
最佳答案
您可能指的是 KEYGEN tag通过浏览器生成 key 对并将最终结果放在某个软件商店中,因为您希望即时生成软件证书。
Keygen 有几个问题和缺点,比如您不能强制执行 PIN/密码策略,因此具有双因素属性,实际上它不是一个真正的标准,也不是在任何地方都有效。
PKCS#15 在这里完全不是主题,因为它处理智能卡上隐藏在浏览器/https/crytpoapi 层之下的文件系统格式。
PKCS#11 仅与 Firefox 相关,因为 IE 和 Safari 都在内部使用 native 平台证书存储和 API(分别为 CryptoAPI 和 CDSA/Keychain)。
关于browser - 用户首次访问 Apache2 服务器时自动生成网站 "token"用于 SSL 身份验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2176235/