我有一个使用客户端身份验证的网络应用程序。
我的问题:网络应用需要与第三方RESTful服务进行互动。 Kicker:该服务需要使用Web应用程序使用的相同证书进行客户端身份验证。基本上,web-app将代表登录到我的web-app的用户进行RESTful调用。
如果没有在网络应用中访问私钥,我认为这是不可能的。我错过了什么吗?
感谢您提供的任何帮助。
答案 0 :(得分:-1)
所以您的担心是将您应用的安全性暴露给第三方服务? 我对第三方服务如何知道认证与您的网络应用为用户生成的认证相同感到困惑。您能否提供有关第三方服务的更多信息?我从未见过要求用户提供有关您的应用程序信息的第三方服务,但通常所有各方都会通过ouath生成共享证书。 听起来应用程序正在点击公共API,如果应用程序代表用户发出所有请求,您只需将应用程序的信息包装到每个请求中,然后再点击他们的服务,这样用户就不会真正看到任何内容。我不认为有必要让用户可以访问它们。我误解了这个问题吗?