【SSL证书系列】https双向认证中客户端认证的原理
HTTPS双向认证(也称为双向SSL/TLS认证)是一种增强安全性的机制,其中客户端和服务器都需要验证彼此的数字证书,以确保双方身份的真实性。以下是其核心原理和步骤的详细解析:
一、双向认证的核心目标
-
双向身份验证:
• 服务器认证:客户端验证服务器的证书,确保连接到合法服务器。• 客户端认证:服务器验证客户端的证书,确保只有授权客户端可访问资源。
-
防中间人攻击:防止攻击者伪装成服务器或客户端窃取数据。
二、双向认证的流程(基于TLS协议)
以下是双向认证的典型握手过程:
1. 客户端发起连接请求
• 客户端发送 ClientHello 消息,包含支持的TLS版本、加密算法列表等。
2. 服务器响应并请求客户端证书
• 服务器返回 ServerHello 消息,确认加密参数。
• 服务器发送自己的 SSL证书(包含公钥、域名等信息)。
• 服务器发送 Certificate Request:要求客户端提供证书,并列出信任的客户端CA列表。
3. 客户端发送证书
• 客户端发送自己的 SSL证书(由受信任的CA签发,且服务器信任该CA)。
• 客户端可能附加其他信息(如支持的压缩方法)。
4. 服务器验证客户端证书
服务器执行以下检查:
-
证书链验证:
• 客户端证书是否由服务器信任的CA签发?• 证书链是否完整(客户端证书 → 中间CA → 根CA)?
-
有效期验证:证书是否在有效期内?
-
域名/用途匹配:
• 检查证书的Subject Alternative Name(SAN)或Common Name(CN)是否符合要求(如用户邮箱、设备ID)。• 验证证书的扩展用途(如
Client Authentication)。 -
吊销状态检查:
• 通过CRL(证书吊销列表)或OCSP(在线证书状态协议)确认证书是否被吊销。
5. 密钥交换与会话密钥生成
• 双方通过非对称加密协商出 预主密钥(Pre-Master Secret)。
• 使用预主密钥和随机数生成 对称会话密钥,用于后续数据加密。
6. 完成握手
• 双方发送 Finished 消息,确认握手成功,开始加密通信。
三、关键技术细节
1. 客户端证书的签发与信任
• CA角色:客户端证书需由受服务器信任的CA签发(如企业私有CA或公共CA)。
• 证书内容:
• Subject字段:通常包含用户/设备的唯一标识(如邮箱、组织ID)。
• 扩展用途:必须包含 Client Authentication。
2. 服务器配置
• 服务器需配置以下参数:
• 客户端CA列表:指定信任的客户端证书颁发机构。
• 证书验证策略:是否强制验证客户端证书(如Apache的 SSLVerifyClient require)。
3. 吊销检查优化
• OCSP Stapling:服务器定期从CA获取OCSP响应并缓存,在握手时直接发送给客户端,减少延迟。
• CRL分发点:客户端证书中包含CRL下载地址,服务器可定期更新吊销列表。
四、双向认证的应用场景
- 企业内网访问:员工需使用客户端证书登录内部系统。
- 金融交易:银行客户端需双向认证确保用户和服务器合法性。
- 物联网(IoT):设备通过证书证明身份,防止非法接入。
五、双向认证的优缺点
| 优点 | 缺点 |
|---|---|
| 双向身份验证,安全性更高 | 配置复杂,需管理客户端证书 |
| 防止未授权客户端访问 | 客户端需安装并维护证书 |
| 适用于高敏感场景(如支付) | 可能增加握手延迟 |
六、示例:企业内网的双向认证
- CA部署:企业搭建私有CA,为员工颁发客户端证书。
- 服务器配置:Web服务器(如Nginx)配置
ssl_client_certificate指向企业CA的根证书。 - 客户端操作:员工将客户端证书导入浏览器或应用,访问内网时自动提交证书。
- 访问控制:服务器拒绝未提供有效证书的请求。
总结
HTTPS双向认证通过双向证书验证,确保客户端和服务器的双重身份合法性,是构建高安全通信的关键技术。其核心在于证书的签发、信任链验证及严格的吊销检查机制。尽管配置复杂,但在企业内网、金融等场景中不可或缺。
相关文章:
【SSL证书系列】https双向认证中客户端认证的原理
HTTPS双向认证(也称为双向SSL/TLS认证)是一种增强安全性的机制,其中客户端和服务器都需要验证彼此的数字证书,以确保双方身份的真实性。以下是其核心原理和步骤的详细解析: 一、双向认证的核心目标 双向身份验证&#…...
map格式可以接收返回 fastjson2格式的数据 而不需要显示的转换
Fastjson2 JSONObject 与 Map 的关系 Fastjson2 的 JSONObject 类定义如下: public class JSONObject extends JSON implements Map<String, Object>, Cloneable {// 实现了 Map 接口的所有方法(put、get、keySet 等) }解释ÿ…...
NHANES稀有指标推荐:PWI
文章题目:Association between plain water intake and the risk of osteoporosis among middle-aged and elderly people in the United States: a cross-sectional study DOI:10.3389/fnut.2025.1527771 中文标题:美国中老年人白开水摄入与…...
CN 第二章 应用层-单选题
非并行TCP连接 HTTP非持续连接 假定在同一Web服务器上的某HTML文件引用了3个非常小的对象(例如图片)。忽略传输时延,往返时延为RTT,不考虑连接释放时间,采用非并行TCP连接的HTTP非持续连接方式将该页面完整接收下来需…...
游戏引擎学习第279天:将实体存储移入世界区块
黑板讲解:为什么使用SOA(结构体数组)而不是AOS(数组结构体)来构建实体系统 我们在构建游戏实体系统时,探讨了使用结构体数组(SOA, Struct of Arrays)而不是结构体组成的数组&#x…...
 设置触发器)
zabbix7.2最新版本 nginx自定义监控(三) 设置触发器
安装zabbix-get服务 在zabbix-server端口安装zabbix-get服务 [rootlocalhost ~]# dnf install -y zabbix-get Last metadata expiration check: 1:55:49 ago on Wed 14 May 2025 09:24:49 AM CST. Dependencies resolved. Package Architectur…...
解密企业级大模型智能体Agentic AI 关键技术:MCP、A2A、Reasoning LLMs- OpenAI AGI 五阶段
解密企业级大模型智能体Agentic AI 关键技术:MCP、A2A、Reasoning LLMs- OpenAI AGI 五阶段 然后第三个阶段就是agent,注意这里面的agent和我们说应用程序开发的这个agent是一个不同的概念。AI just can take actions autonomously自动的去执行一些动作。但大家像今天我们看到…...
Flink实时统计任务CPU异常排查与解决方案
一、核心原因分析 资源配置不合理 CPU核数与并行度不匹配:TaskManager的taskmanager.numberOfTaskSlots设置过高,导致单个节点负载过载(如32核节点设置2个slot被多个任务占用,总需求超过物理CPU核数)。内存与CPU分配不均:内存不足引发频繁GC,间接导致CPU利…...
--v-text、v-html数据渲染,计算属性)
Vue3指令(二)--v-text、v-html数据渲染,计算属性
目录 (一)数据渲染 1.插值表达式渲染数据 1.1实战案例 1.1.1代码: 1.1.2实现截图: 2.使用v-text和v-html来渲染数据 2.1实战案例: 2.1.1代码: 2.1.2实现截图: (二ÿ…...
【深入Spring系列】源码级深入剖析SpringBoot如何实现自动装载
1. SpringBoot自动装载 Spring Boot 实现“自动装载”(Auto Configuration)是其最核心、最强大的功能之一,使得开发者可以快速搭建项目而无需进行复杂的 XML 配置。这一机制的底层实现主要依赖于 Spring Framework 的条件注解机制 和 Spring…...
【AI News | 20250514】每日AI进展
AI Repos 1、ocr-workbench OCR Workbench 是一款使用 AI(Gemini 或 Tesseract)进行文档光学字符识别(OCR)并生成 Markdown 或 HTML 转录的开源 Web 应用。它专为处理需要大量编辑的 OCR 文本而设计,特别是老旧文档。…...
嵌入式设计模式基础--C语言的继承封装与多态
继承,封装和多态是OOP的三大核心特性,它们共同构了面向对象的基础.但嵌入式开发中大量的使用到的却是C语言这种面向过程的语言,那么我们就需要了解如何在C中使用设计模式的思想做功能开发。要了解设计模式,我们就需要先搞清楚 继承…...
【python爬虫】python+selenium实现Google Play Store应用信息爬虫+apk下载
实验要求:利用pythonselenium实现Google Play Store应用信息爬虫apk下载。 其中: 1、热门应用列表包含200个app,需要点击右侧按钮滑动产生下一页数据,所以需要Selenium来控制页面操作。 2、每个应用的爬虫信息包括:ap…...
RPC协议及库介绍
一.RPC介绍 RPC(Remote Procedure Call),远程过程调用协议,客户端在不知道调用细节的情况下,调用存在于远程计算机上的某个对象,就像调用本地应用程序中的对象一样,即允许像调用本地服务一样调用远程服务。 RPC框架的…...
【教程】Docker更换存储位置
转载请注明出处:小锋学长生活大爆炸[xfxuezhagn.cn] 如果本文帮助到了你,欢迎[点赞、收藏、关注]哦~ 目录 背景说明 更换教程 1. 停止 Docker 服务 2. 创建新的存储目录 3. 编辑 Docker 配置文件 4. 迁移已有数据到新位置 5. 启动 Docker 服务 6…...
vue3实现JSON格式化和JSONPath提取功能
功能简介 1、JSON数据的格式化 2、通过JSONPath语法对格式化后的数据匹配提取 基础环境参考 vue3flasksqlite前后端项目实战 包安装 npm install jsonpath src/views/JsonFormat.vue <template><div class"json-formatter-container"><el-card cla…...
】服务消费者通过restTemplate来访问服务提供者(含源代码)(五))
【springcloud学习(dalston.sr1)】服务消费者通过restTemplate来访问服务提供者(含源代码)(五)
该系列项目整体介绍及源代码请参照前面写的一篇文章【springcloud学习(dalston.sr1)】项目整体介绍(含源代码)(一) 一般情况下,我们远程调用服务,可以用restTemplate来进行http请求的访问。接…...
在 Angular 中, `if...else if...else`
在 Angular 中,模板语法本身并不直接支持 if...else if...else 这样的多条件分支结构。不过,你可以通过使用 *ngIf 指令结合其else模板功能来实现类似的效果。下面是如何模拟if...else if...else逻辑的方法: 示例:实现if...else …...
深入掌握 Python 切片操作:解锁数据处理的高效密码
在 Python 的编程宇宙中,每一个开发者都在不断探索各种强大且实用的工具,以提升代码的效率与灵活性。其中,切片操作作为 Python 数据处理领域的核心技能之一,就像是一把精巧的瑞士军刀,无论是处理文本信息、分析数据列…...
基于 Kubernetes 部署容器平台kubesphere
一 前言: k8s 大家都已经非常熟悉了,网上流传着非常多的搭建部署文档,有kubeadmin的有二进制的,还有基于第三方的部署工具的,反正是各种部署方法都有,k8s部署技术热门可见一斑。但是不管哪种部署都需要了解…...
lua 作为嵌入式设备的配置语言
从lua的脚本中获取数据 lua中栈的索引 3 | -1 2 | -2 1 | -3 可以在lua的解释器中加入自己自定的一些功能,其实没啥必要,就是为了可以练习下lua...
NVMe简介2
共分2部分,这里是第2部分。 NVMe数据结构 NVMe协议中规定每个提交命令的大小为64字节,完成命令大小为16字节,NVMe命令分为Admin和IO两类,NVMe的数据块组织方式有PRP和SGL两种。提交命令的格式如图5所示。 图5 提交命令数据格 N…...
具身智能梳理以及展望
具身智能相关技术与发展历程 具身智能概念 具身智能指具有自身体验、改变物理世界的智能。 过去 5.4 亿年,地球所有生物智能由身体作用于世界的行为塑造。 1950 年,图灵在《Computing Machinery and Intelligence》论文中首次提出具身智能࿰…...
【Redis实战篇】秒杀优化
1. 秒杀优化-异步秒杀思路 我们来回顾一下下单流程 当用户发起请求,此时会请求nginx,nginx会访问到tomcat,而tomcat中的程序,会进行串行操作,分成如下几个步骤 1、查询优惠卷 2、判断秒杀库存是否足够 3、查询订单…...
【HTTPS基础概念与原理】TLS握手过程详解
以下是 TLS握手过程的详细拆解,涵盖客户端与服务器之间的关键交互步骤,包括ClientHello、ServerHello、证书验证、密钥交换等核心阶段,并对比TLS 1.2与TLS 1.3的差异: 一、TLS握手的核心目标 协商协议版本:确定双方支…...
libmemcached库api接口讲解三
前言:讲解一下如何删除数据 🗑️ libmemcached 删除键操作教程:memcached_delete() / memcached_delete_by_key() 📘 1. 函数作用 用于从 Memcached 中删除指定的 key,包括: memcached_delete()ÿ…...
注解和 XML 两种方式有什么区别?
注解和 XML 是两种常见的配置方式(尤其在 Java 开发中,如 Spring 框架),它们的主要区别体现在配置方式、代码耦合性、可读性、维护性等方面。以下是两者的对比: 1. 配置方式 注解(Annotation) 在…...
[论文阅读]Formalizing and Benchmarking Prompt Injection Attacks and Defenses
Formalizing and Benchmarking Prompt Injection Attacks and Defenses Formalizing and Benchmarking Prompt Injection Attacks and Defenses | USENIX 33rd USENIX Security Symposium (USENIX Security 24) 提出了一个框架来形式化提示注入攻击,对提示注入攻击…...
)
分布式2(限流算法、分布式一致性算法、Zookeeper )
目录 限流算法 固定窗口计数器(Fixed Window Counter) 滑动窗口计数器(Sliding Window Counter) 漏桶算法(Leaky Bucket) 令牌桶算法(Token Bucket) 令牌桶与漏桶的对比 分布式…...
阿里端到端多模态语音对话开源模型论文速读:Qwen2.5-Omni
Qwen2.5-Omni 技术报告 1. 介绍 Qwen2.5-Omni 技术报告介绍了一个先进的端到端多模态模型 Qwen2.5-Omni,该模型能够感知包括文本、图像、音频和视频在内的多种模态,并能同时以流式方式生成文本和自然语音响应。该模型解决了统一不同理解模态、管理不同…...
React 第四十节 React Router 中 useBeforeUnload的使用详细解析及案例说明
useBeforeUnload 是 React Router 提供的一个自定义钩子,用于在用户尝试关闭页面、刷新页面或导航到外部网站时触发浏览器原生的确认提示。 它的核心用途是防止用户意外离开页面导致数据丢失(例如未保存的表单内容)。 一、useBeforeUnload 核…...
c++STL——哈希表封装:实现高效unordered_map与unordered_set
文章目录 用哈希表封装unordered_map和unordered_set改进底层框架迭代器实现实现思路迭代器框架迭代器重载operator哈希表中获取迭代器位置 哈希表的默认成员函数修改后的哈希表的代码封装至上层容器 用哈希表封装unordered_map和unordered_set 在前面我们已经学过如何实现哈希…...
通过迁移学习改进深度学习模型
在 ArcGIS Living Atlas of the World (Browse | ArcGIS Living Atlas of the World)中,可以下载能够分类或检测影像中要素的预训练深度学习模型。 深度学习模型在与用于训练模型的原始影像十分相似的影像上运行效果最好。 如果您所拥有的影像…...
SpringAI更新:废弃tools方法、正式支持DeepSeek!
AI 技术发展很快,同样 AI 配套的相关技术发展也很快。这不今天刚打开 Spring AI 的官网就发现它又又又又更新了,而这次更新距离上次更新 M7 版本才不过半个月的时间,那这次 Spring AI 给我们带来了哪些惊喜呢?一起来看。 重点升级…...
)
输入一个正整数,将其各位数字倒序输出(如输入123,输出321)
之前的解法: 这种方法仅支持三位数。 学了while之后,可以利用循环解决。 这种方法动态构建逆序数,支持任意长度的正整数。...
react+html2canvas+jspdf将页面导出pdf
主要使用html2canvasjspdf 1.将前端页面导出为pdf 2.处理导出后图表的截断问题 export default function AIReport() {const handleExport async () > {try {// 需要导出的内容idconst element document.querySelector(#AI-REPORT-CONTAINER);if (!element) {message.err…...
Spring Boot 自动装配技术方案书
Spring Boot 自动装配技术方案书(增强版) 一、Spring Boot 自动装配体系全景解析 1.1 核心设计理念 “约定优于配置”:通过合理的默认配置减少开发工作量“即插即用”:通过标准化扩展机制实现组件自动集成“分层解耦”:业务代码与基础设施分离,通过SPI机制实现扩展二、组…...
面试--HTML
1.src和href的区别 总结来说: <font style"color:rgb(238, 39, 70);background-color:rgb(249, 241, 219);">src</font>用于替换当前元素,指向的资源会嵌入到文档中,例如脚本、图像、框架等。<font style"co…...
python开发经验)
(3)python开发经验
文章目录 1 sender返回对象找不到函数2 获取绝对路径3 指定翻译字符 更多精彩内容👉内容导航 👈👉Qt开发 👈👉python开发 👈 1 sender返回对象找不到函数 在PySide6中多个信号绑定一个槽函数,使…...
机密虚拟机的威胁模型
本文将介绍近年兴起的机密虚拟机(Confidential Virtual Machine)技术所旨在抵御的威胁模型,主要关注内存机密性(confidentiality)和内存完整性(integrity)两个方面。在解释该威胁可能造成的问题…...
基本概念)
LLM笔记(一)基本概念
LLMs from scratch Developing an LLM: Building, Training, Finetuning LLM 的基本概念与定义: LLM是深度神经网络模型,能够理解、生成和解释类似人类的语言。“大型”指的是模型参数数量巨大以及训练数据集的规模庞大。LLM通常基于Transformer架构,并通…...
Day9)
嵌入式(c语言篇)Day9
嵌入式Day9 C语言字符串标准库函数笔记 一、概述 C语言提供了一系列字符串标准库函数用于处理字符串,使用这些函数需要包含头文件 <string.h>。主要函数包括求字符串长度、字符串复制、字符串拼接和字符串比较等。我们不仅要理解这些函数的行为,…...
006-nlohmann/json 结构转换-C++开源库108杰
绝大多数情况下,程序和外部交换的数据,都是结构化的数据。 1. 手工实现——必须掌握的基本功 在的业务类型的同一名字空间下,实现 from_json 和 to_json 两个自由函数(必要时,也可定义为类型的友元函数)&a…...
b站视频如何下载到电脑——Best Video下载器
你是不是也经常在B站刷到超赞的视频,想保存到电脑慢慢看,却发现下载不了?别急,今天教你一个超简单的方法,轻松下载B站视频到电脑,高清画质,随时随地想看就看! 为什么需要下载B站视频…...
【行为型之模板方法模式】游戏开发实战——Unity标准化流程与可扩展架构的核心实现
文章目录 🧩 模板方法模式(Template Method Pattern)深度解析一、模式本质与核心价值二、经典UML结构三、Unity实战代码(关卡流程系统)1. 定义抽象模板类2. 实现具体子类3. 客户端使用 四、模式进阶技巧1. 钩子方法&am…...
每日算法-250514
每日算法学习记录 (2024-05-14) 今天记录三道 LeetCode 算法题的解题思路和代码。 1. 两数之和 题目截图: 解题思路 这道题要求我们从一个整数数组中找出两个数,使它们的和等于一个给定的目标值 target,并返回这两个数的下标。 核心思路是使用 哈希…...
信息安全入门基础知识
信息安全是保护信息系统和数据免受未经授权的访问、使用、披露、中断、修改或破坏的实践。对于个人和组织来说,了解信息安全的基础知识至关重要。 1. CIA三元组 信息安全的三个主要目标,也称为CIA三元组: 机密性(Confidentiality): 确保信息不被未经授权的人访问或披露完整性…...
力扣-98.验证二叉搜索树
题目描述 给你一个二叉树的根节点 root ,判断其是否是一个有效的二叉搜索树。 有效 二叉搜索树定义如下: 节点的左子树只包含 小于 当前节点的数。节点的右子树只包含 大于 当前节点的数。所有左子树和右子树自身必须也是二叉搜索树。 class Solutio…...
Java 框架配置自动化:告别冗长的 XML 与 YAML 文件
在 Java 开发领域,框架的使用极大地提升了开发效率和系统的稳定性。然而,传统框架配置中冗长的 XML 与 YAML 文件,却成为开发者的一大困扰。这些配置文件不仅书写繁琐,容易出现语法错误,而且在项目规模扩大时ÿ…...
大疆无人机自主飞行解决方案局限性及增强解决方案-AIBOX:特色行业无人机巡检解决方案
大疆无人机自主飞行解决方案局限性及增强解决方案-AIBOX:特色行业无人机巡检解决方案 大疆无人机是低空行业无人机最具性价比的产品,尤其是大疆机场3的推出,以及持续自身产品升级迭代,包括司空2、大疆智图以及大疆智运等专业软件和…...