我正在为我的NodeJS API开发一种身份验证方法。 我正在使用 TLS 证书来验证连接到我的 API 服务器的客户端。 我的问题是:我们能有一种方法来验证对客户端的响应吗?我们可以为此使用证书(服务器到客户端(吗?
例如:当我们从客户端调用 API 时,我们会发送带有经过身份验证的请求的证书,如果发现有效,服务器会发送响应,反之亦然,发送证书作为响应并让客户端验证证书。
整个TLS协议和证书已经围绕您信任服务器的这个想法构建。 即,服务器在建立连接期间提供TLS证书,客户端可以通过检查它是否信任颁发证书的CA来验证该证书。
现在,虽然通常是这样,但您可以拥有允许通过不检查证书或检查但无论如何继续来绕过这一点的库,因此您必须仔细检查事实并非如此。浏览器会自动执行此操作。
如果您单击Chrome中URL左侧的绿色"安全"按钮,例如,您可以单击那里的"证书"并查看服务器提供的证书。如果它是绿色的,那么它是值得信赖的,一切都很好。
附言客户端和服务器都不会在整个过程中来回发送证书。它们在建立称为 TLS 握手的连接期间只执行一次。这是一个相对昂贵的过程,因此您最好保持连接。