Rest Web Service中的双向SSL/TLS身份验证

Question

我将揭露我的情况。我有一个在Apache Tomcat 7.0上运行的REST应用程序。问题是我想要在其他API服务器上进行身份验证并创建客户端角色，以便用户可以执行某些操作。客户端的身份验证和角色将由客户端必须发送到服务器的SSL/TLS客户端证书确定。

策略是：

• REST客户端应用程序发送到服务器的请求。
• 客户除了发送关于发布请求的操作之外，还发送了他自己的SSL/TLS证书（我不知道如何）。
• Rest Web Service从客户端收到此请求，对其进行处理，并使用SSL/TLS证书确定客户端角色，以便回答是否允许操作请求。

这可行吗？任何人都可以帮助一些教程或其他职位？

Answer 1

我们在REST服务中采用了HMAC认证。 好的阅读：http://www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/