我一直在用PHP编写身份验证例程,以允许公司用户通过Internet访问新工具。我已经找到了大部分内容,但是当谈到如何在会话之间安全地“记住”经过身份验证的用户时,我对某些事情感到好奇。
基于对其周围信息的缺乏,我感觉不是很多人使用客户端SSL证书来验证用户是否来自可信计算机。在我看来,只要你能让用户信任你的CA(不是公司内部的问题),为什么没有一个很好,简单的方法来请求,签署,发布和安装新的客户端证书,这有助于防止MITM比说饼干要好得多吗?
我并不期望客户端证书是最终的全部,但是我是否缺少一些可以帮助我沿着这条路走下去的资源?或者兔子洞是否太深,我唯一的搜索缺乏的是“噩梦”这个词来揭示这是多么糟糕?
谢谢!
答案 0 :(得分:1)
很多人使用客户端证书。几乎整个美国联邦政府都这样做。
问题在于需要很多专业知识才能正确完成。但是,如果操作正确,它可以很好地工作,并且可以提供比基于密码的身份验证更强大的安全性。