Poco de fondo.
Aplicación web que puede generar claves Pub / Priv y certificados X.509.
¿Cómo utilizar el certificado en una aplicación web, el nombre de usuario y el formulario de inicio de sesión con contraseña para proporcionar una autenticación segura?
Esto es para una parte de un proyecto de investigación que estoy haciendo, así que no estoy buscando 'mejores' métodos para hacer esto, solo me pregunto cómo resolvería esta situación.
Muchas gracias!
¿Cómo utilizar el certificado en una aplicación web, el nombre de usuario y el formulario de inicio de sesión con contraseña para proporcionar una autenticación segura?
El punto sería no tener tal forma en absoluto. Usted usaría HTTPS. La configuración TLS del servidor requeriría un certificado de cliente (que es opcional). En respuesta a esa opción en la configuración de la conexión TLS, el cliente (navegador web) normalmente solicitará al usuario que seleccione un certificado aceptable de los que tiene disponibles; Por supuesto, usted tendría que haberle dado previamente al usuario su clave privada y el certificado correspondiente. El servidor necesitaría los certificados de CA necesarios para verificar el certificado del cliente. Una vez que se complete la conexión TLS, el servidor web hará que el identificador de cliente autenticado esté disponible para la aplicación de alguna forma (por ejemplo, las variables de entorno con Apache mod_ssl); al menos, el X.500 "nombre distinguido" que es el objeto del certificado.
Lea otras preguntas en las etiquetas web-application rsa x.509