我有一个使用servlet创建的Web应用程序,并且有一个单独的API用于该Web应用程序。一个客户端证书而不是凭证被发送到授权服务器进行验证,在验证之后,应该允许访问API。2有什么方法可以实现这个身份验证吗?3如果可能的话,我应该做什么来实现这个?
2skhul331#
客户机证书身份证明可用于代码流或客户机身份证明流中的机密客户机。此类解决方案通常用于金融级设置,其中涉及高价值的数据。然后发出的访问令牌包含一个cnf声明,这样每个API调用都绑定到在身份验证时使用的强凭据。关于一个可以在本地运行的端到端示例,它涵盖了后端和客户端行为,请参见this Curity code example。不是所有的授权服务器都支持这些流程,所以请检查您的提供程序。
cnf
1条答案
按热度按时间2skhul331#
客户机证书身份证明可用于代码流或客户机身份证明流中的机密客户机。此类解决方案通常用于金融级设置,其中涉及高价值的数据。
然后发出的访问令牌包含一个
cnf声明,这样每个API调用都绑定到在身份验证时使用的强凭据。关于一个可以在本地运行的端到端示例,它涵盖了后端和客户端行为,请参见this Curity code example。不是所有的授权服务器都支持这些流程,所以请检查您的提供程序。