Rest Web Service中的雙向SSL/TLS身份驗證

Question

我將揭露我的情況。我有一個在Apache Tomcat 7.0上運行的REST應用程序。問題是我想要在其他API服務器上進行身份驗證並創建客戶端角色，以便用戶可以執行某些操作。客戶端的身份驗證和角色將由客戶端必須發送到服務器的SSL/TLS客戶端證書確定。

策略是：

• REST客戶端應用程序發送到服務器的請求。
• 客戶除了發送關於發佈請求的操作之外，還發送了他自己的SSL/TLS證書（我不知道如何）。
• Rest Web Service從客戶端收到此請求，對其進行處理，並使用SSL/TLS證書確定客戶端角色，以便回答是否允許操作請求。

這可行嗎？任何人都可以幫助一些教程或其他職位？

Answer 1

我們在REST服務中採用了HMAC認證。 好的閱讀：http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/