0

我正在构建一个站点,我需要用户使用名称、密码和证书登录。它应该工作的方式是在您第一次登录时上传证书。之后应该有一个带有公钥 ID(不是公钥)和名称和密码的 cookie,这样以后您就不再需要上传证书了。

我遇到了麻烦,特别是获取公钥 ID。我可以获取密钥,没问题,但我需要做的是获取公钥 ID 并将其保存为 cookie,然后连同用户名和密码一起保存到数据库中。

这是我提交表单的代码:

<?php
    $uploads_dir = '/home/path/to/certs/';
    $uploadfile = $uploads_dir . basename($_FILES['cert']['name']);

    if (move_uploaded_file($_FILES['cert']['tmp_name'], $uploadfile)) {
         $name = './'. $_FILES['cert']['name'];
         $pub_key = openssl_pkey_get_public(file_get_contents($name));
         $keyData = openssl_pkey_get_details($pub_key);   
         echo $keyData['key'];
    } else {
         echo "Nope!\n";
    }
 ?>
4

1 回答 1

0

之后应该有一个带有公钥 ID(不是公钥)和名称和密码的 cookie,这样以后您就不再需要上传证书了。

从本质上讲,您正在实施一个根本不提供安全性的身份验证系统。

无论您称之为“公钥 ID”,本质上都是公开的。由于任何人都可以设置该 cookie,因此您实际上并没有对任何内容进行身份验证。

如果要使用证书中的公钥进行身份验证,请使用客户端证书身份验证。例如,您可以禁用 PKI 验证并使用手动验证证书中的公钥。

于 2013-03-19T12:21:14.223 回答