我正在通过 SSL 向 OAuth 2.0 提供程序发出 API 调用。我知道过去在 Ruby 中设置Net::HTTP#verify_mode为是一种常见做法VERIFY_NONE,这是一件坏事。我正在使用的 Ruby 库都回调到法拉第,我现在已经深入研究了法拉第Net::HTTP的配置,并看到在正在进行的调用中,#verify_mode正确设置为VERIFY_PEER. 如果有的话,我还应该做什么来确保正确验证 OAuth 提供者的 SSL 证书?是否有一个好的冒烟测试可以在接受和拒绝证书之间切换行为?
我不确定正在使用哪个公钥以及它在我的开发环境中的位置。我使用的 OAuth 提供者是 Google,之前的一篇文章建议 Mac 修补 OpenSSL 以挂钩到钥匙串并使用 Equifax 安全证书颁发机构。虽然切换此证书的信任模式确实会在回调重定向时改变 Chrome 的行为,但它不会导致启动 API 调用的 Ruby 代码出现异常,因此我怀疑初始时使用了不同的密钥称呼。