公開鍵認証を使用してウェブサイトにログインするためのログインシステムを実装しようとしています。これが実現可能かどうかはわかりません。ウェブサイトのログイン用のユーザーの秘密鍵を確認する
これは私が行う予定ものです: -
- お申し込み時に、ユーザの公開鍵は、ウェブサイトに保存されます。
- ユーザーが後でログインしようとすると、Webサイトはユーザーに対応する秘密キーを要求します。
- ユーザーは、プライベートキーがサインアップ中に提供された公開キーと一致する場合、認証されます。
私は、自分の身元を確認するためにユーザーの秘密鍵を要求するサイト(startssl.comなど)を見ました(添付のスクリーンショットを参照)。そのようなシステムを実装するには何が必要ですか?
ですが、ユーザーは、それは目的を破って、秘密鍵だ提供されていない場合?秘密鍵はどのような場合でも非公開でなければなりません。通常行われる方法は、Webサイトがユーザー公開キーを使用してトークンを暗号化し、ユーザーが秘密キーを使用してそれを復号化してWebサイトに提供することです。 – Ikke
これはプレーンな[クライアント認証]です(http://httpd.apache.org/docs/2.0/ssl/ssl_howto.html) – Raffaele
はい、プライベートキーは常に非公開です。サーバーには送信されません。 startssl.comがスクリーンショットの秘密鍵の使用を確認するようにユーザーに求めている様子をご覧ください。私はそのようなものを探しています。 – Sparky