客戶端（java獨立客戶端）應用程序認證和用戶認證之間的區別

Question

在web應用程序的情況下，我可以理解客戶端認證和用戶認證之間沒有區別;忽略XSS和其他漏洞，Web客戶端由服務器/ servlet生成。

但假設您有一個Java客戶端應用程序與Java服務器應用程序交談;服務器有一個與之關聯的證書，以便客戶端可以驗證並驗證服務器是否可信。現在客戶端還有一個證書（客戶端證書），以便服務器可以驗證這是否是可信的客戶端;一旦這種相互認證完成，用戶證書（用戶證書）就可以傳遞給服務器，而不是向用戶提供用戶名/密碼對話框。

問題是在這種情況下是否有任何優勢/使用（客戶證書）;或者僅憑用戶證書就足以信任客戶端？

我知道這是一個明顯的問題/但不能創建一個胭脂客戶端應用程序？那麼客戶端證書可以抵禦這種情況。

Answer 1

任何時候當你有一個客戶端服務器應用程序時，服務器需要假定客戶端已被攻陷。當身份驗證發生時（用戶名/密碼，證書等等......無關緊要），服務器應授予用戶一定的權限以使用服務器的功能。每當向服務器發出請求時，服務器都需要檢查經過身份驗證的用戶是否有權執行該操作。

信任客戶端只進行授權請求會讓您自己面臨攻擊。如果您檢查服務器上的權限並清理輸入，那麼您不必擔心用戶是否使用受信任的客戶端，因爲即使是不受信任的客戶端也不能使用相同的身份驗證憑據執行更多操作。

無論您使用的是Web客戶端還是獨立客戶端，這些原則都適用。即使在Web應用程序中，我也可以編寫新的客戶端和POST數據，使用RESTful服務，或者通常與Web服務器交談，並完全繞過您向我呈現的Web ui。

Answer 2

如果某些攻擊者以某種方式更改客戶端應用程序，它可能會使用有效的用戶證書來訪問服務器。 （我們假設服務器檢查客戶端是否可以做這個或那個操作，但是爲了確保客戶端沒有被一個假客戶端釣魚）。服務器應該驗證客戶端應用程序，而不是爲了服務器的緣故。然後服務器可以宣佈client-1所做的所有操作都是通過一些經過驗證的客戶端應用程序（代理程序）製作的，因此它們是用戶真正想要的。

Answer 3

客戶端應用程序的證書（以及它的私鑰）可以輕鬆地從應用程序中剝離出來，並且可以創建流氓應用程序。解決此問題的方法是（a）使用用戶證書，並在需要時讓用戶提供證書，並（b）使用USB加密標籤存儲客戶端證書及其私鑰。 Cryptotokens不會讓私鑰退出，因此攻擊者無法複製它（儘管他可以在應用程序中使用該令牌，如果他有物理訪問令牌的權限）。