Necesito autenticar (y autorizar) clientes en un entorno de máquina a máquina. Las máquinas cliente son pocas y conocidas (es decir, un cliente no aparecerá y comenzará a realizar solicitudes). El protocolo es HTTPS.
¿Existen beneficios de usar certificados de clientes frente a la emisión de tokens? En mis configuraciones, los clientes no usarán una CA conocida, pero mi sistema tendría que ser una CA, por lo que entregará los certificados, como en el caso de los tokens.
En el caso de certificados de servidor, el certificado está vinculado a un dominio y, por lo tanto, una CA permite afirmar que el dominio es legítimo y no puede ser utilizado por un dominio de phishing. ¿A qué están vinculados los certificados de clientes? En otras palabras, ¿puede un cliente malintencionado robar un certificado de cliente y usarlo de manera similar a robar un token?
El servidor tendrá un certificado. Si el cliente tiene un certificado, ¿esto logra una comunicación más segura de alguna manera?