从使用用户ID和密码的认证方式方面来讲,只要二者的内容正确,即可认证时本人的行为。但如果用户ID和密码被盗,就很有可能被第三者冒充。利用SSL客户端认证则可以避免该情况的发生。
SSL客户端认证是借由HTTPS的客户端证书完成认证的方式,凭借客户端证书认证,服务器可确认访问的是否来自己登录的客户端。
SSL客户端认证的认证步骤
为了达到SSL客户端认证的目的,需要事先将客户端证书分发给客户端,且客户端必须安装此证书。
步骤1 : 接收到需要认证资源的请求,服务器发送Cretificate request报文,要求客户端提供客户端证书。
步骤2:用户选择将发送的客户端证书后,客户端会把客户端证书信息以Client certificate报文方式发送给服务器
步骤3:服务器验证客户端证书验证通过后方可领取证书内客户端的公开密钥,然后开始HTTPS的加密通信。