您可以使用 SSL/TLS 客户端证书身份验证来对浏览器/用户进行身份验证。
服务器必须请求客户端证书,因此您需要访问服务器配置(而不仅仅是在共享服务器上安装一些 PHP 代码)。这是在 SSL/TLS 层完成的(事实上,该机制并非特定于 HTTPS):服务器在 SSL/TLS 握手期间请求客户端证书(有时通过重新协商握手)。在 Apache Httpd 中,这通常是通过以下方式完成的SSLVerifyClient http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslverifyclient(尽管您还需要指定其他选项)。
然后,服务器将根据您配置的 CA(可能是您自己的 CA,并且可能独立于服务器证书本身使用的 CA)来验证证书。 (或者,在某些情况下,您可以在服务器级别禁用证书验证,并让 PHP 应用程序执行此操作,但这有点更高级,您需要知道自己在做什么。)
您可以从应用程序访问客户端证书并获取其主题 DN(或备用名称),以识别客户端。
目前尚不清楚您是否在识别出browser or a user。最终,一切都通过浏览器进行,但客户端证书往往会分配给用户。用户必须将该证书安装到他们的浏览器中。
EDIT:有关更多详细信息,如果您能澄清您的问题以及您打算对此做什么,将会有所帮助。
是否可以使用 ssl 证书对 Web 浏览器进行身份验证。
假设我在应用程序中存储私钥,有什么方法可以读取
来自浏览器的密钥并尝试基于该密钥进行身份验证?
首先,严格来说,不存在“SSL证书”这样的东西,因为SSL/TLS可以使用多种类型的证书,并且其中一些相同的证书还可以用于SSL/TLS以外的其他用途。通常,“SSL 证书”是指“SSL/TLS 上下文中的 X.509 证书”。
因此,使用 SSL 证书对 Web 浏览器进行身份验证意味着在 SSL/TLS 层进行此操作。 (已经尝试在 HTTP 层使用 X.509 证书来实现消息级安全性,但浏览器并未广泛支持它们。)
其次,私钥由您进行身份验证的远程方持有。对远程方进行身份验证的本地方看不到任何私钥。如果您(作为服务器)想要对 Web 浏览器进行身份验证,则浏览器需要拥有私钥,而不是您的(大概是 PHP)应用程序。在这种情况下,如果您要验证的是浏览器,则不太清楚为什么您的(PHP?)应用程序将拥有/需要私钥。
您的验证应用程序可能需要(如果不是由服务器本身完成)是一个 CA 证书,以便能够验证它所提供的客户端证书(或至少用于验证客户端证书的某种形式的信任锚)。这里不需要私钥,只需要公钥和证书,除非您希望您的应用程序也成为 CA。
事实上,您可以让您的应用程序成为一个迷你 CA。它可以使浏览器生成密钥对并向服务器发送证书请求(有一些机制可以让网页让浏览器完成所有这些操作)。然后服务器将生成证书并让浏览器根据其私钥将其导入回。随后,浏览器可以使用此证书对该服务器(或可以识别这些证书的其他服务器)进行身份验证。
