我有一个通过 HTTPS 运行的 OAuth2 api。由于 OAuth2 依赖于 HTTPS 的安全性(不做任何自己的签名),我在开发人员文档中添加了一条注释,鼓励开发人员确保他们在其客户端应用程序中验证 ssl 证书。
我注意到一些应用程序使 crt 文件公开可用或将其包含在他们的客户端中:https ://github.com/stripe/stripe-ruby/tree/master/lib/data
我认为这只是为了确保它使用正确的证书(而不是任何系统安装的证书)?如果是这样,在您的 API 页面上向开发人员公开此 crt 文件是否是一个好主意,以及生成此文件的简单命令/方法是什么?
谢谢!