Rest Web Service中的两种SSL/TLS身份验证 [英] two way SSL/TLS authentication in a Rest Web Service

问题描述

我将揭露我的处境.我有一个在Apache Tomcat 7.0上运行的REST应用程序.问题是，我想在其余的API服务器上进行身份验证并创建客户端角色，以便允许用户执行或不执行某些操作.客户端的身份验证和角色将由客户端必须发送到服务器的SSL/TLS客户端证书确定.

I am going to expose my situation. I have a REST application running on Apache Tomcat 7.0. The question is that I want to authenticate and create client roles on the rest API server in order to allow users make some actions or not. The authentication and roles of clients will be determined by the SSL/TLS client certificate that clients have to send to the server.

策略是:

• Rest Client应用程序将请求发送到服务器.
• 除了发送请求后，客户还发送自己的SSL/TLS认证(我不知道如何).
• Rest Web Service从客户端接收此请求，对其进行处理，并使用SSL/TLS证书确定客户端角色，以回答是否允许该操作请求.

这可行吗?有人可以帮忙一些教程或其他帖子吗?

Is this feasible? Can anybody help with some tutorials or other posts?

推荐答案

我们在REST服务中采用了HMAC身份验证. 好的阅读: http://www.thebuzzmedia.com /designing-a-secure-rest-api-without-oauth-authentication/

We adopted HMAC authentication in our REST services. Good read: http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/

这篇关于Rest Web Service中的两种SSL/TLS身份验证的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！