我正在创建一个 SOA 系统,其中服务器 A 通过 SSL/TLS 连接到服务器 B。
我可以使用 API 令牌来确保 A 是他们所说的那个人。但由于我使用的是 TLS,并且服务器 A 有一个 Verisign 颁发的 X.509 证书,说明他们是谁,使用该证书似乎是有意义的。
因此,高级身份验证工作流程将是:
- A 通过 TLS 连接到 B
- B检查检查A的证书
- 如果证书无效或证书用于 A 以外的任何其他方,则 B 丢弃 A
我想在应用程序之外,在网络堆栈的最低级别执行此操作。可能是通过一个 Apache 配置指令,它会说:
DropUnlessX509CertificateNameMatches XXXXXXXXX
?
这与 API 令牌身份验证有什么缺点吗?