驗證SSL證書來驗證訪問我們的私人API的服務？

Question

我們有一個webservice和3個內部客戶端訪問它。
它們都位於同一個域中，我們使用SSL證書* .ourdomain.com。

因此，我們得到：

• https://ourapi.ourdomain.com
• https://1stclient.ourdomain.com
• https://2ndclient.ourdomain.com
• https://3rdclient.ourdomain.com

我在想，如果我們可以驗證請求的身份（在API）只需驗證證書即可。所以我們可以垃圾基本認證。

你認爲這是可行和安全的嗎？怎麼樣 ？我們在軌道上3.0.5 /紅寶石1.9.2

Answer 1

誰在你的環境中控制你的SSL終止？ 如果你使用EventMachine的，你可以使用post_init內

def post_init 
    start_tls :private_key_file => 'mycert', :cert_chain_file => 'mychain', :verify_peer => true 
end 

，然後在回調可以從安全的角度檢查證書

def ssl_verify_peer(cert) 
    #TODO: check if the client cert is valid 
    end 

的有效性，它是確定檢查客戶端SSL證書的有效性。你只需要保守祕密。如果有人竊取該文件，則認證將被繞過。這就是爲什麼使用cert + a pasword（雙因素認證）的原因。

關於。