首先 - 您谈论两种完全不同的使用证书的方法。如果您使用来自CA的服务器签名证书,那么用户将在加载页面之前进行身份验证(创建安全通道时),并且您将知道他们是谁。您提到的另一种方式 - 将用户证书存储在UserProfile中 - 是否存储私人证书?这远离安全的方法。您希望保留在用户配置文件中的哪些内容可以用于验证目的?如果你从UserProfile中读取这个东西,那么用户将如何进行真正的身份验证?使用用户名+密码?那么在配置文件中证书的目的是什么?
我不会在Django做SSL事情。处理此问题的更好方法是事后使用HTTP标头将所有SSL内容保留在Apache中。您向用户颁发证书,将其添加到浏览器中,并在连接到站点时 - Django检查证书并提取与请求关联的用户名。然后将此用户名作为HTTP标头传递给Django应用,例如HTTP_USER_NAME = some_user。同时确保Apache从客户端的请求中去除所有这些头文件。然后,你的Django应用程序不应该做任何事情 - 它将依靠Apache已经完成了AUTH作业并将获得用户名。 (这对Nginx来说工作正常,尽管我没有在Apache中使用它 - 我没有看到它不应该有可能的原因,也许你需要一些额外的Apache mod来安装)。
所以这种方法的唯一缺点是,你可能不得不做一些手动的工作,签署/发送证书给用户,但如果这不是一个频繁的重复操作,似乎是安全的回报它提供。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
