使用数字证书的双因素认证

Question

我将做一个关于双因素认证的Finalyear项目，其中第二个因素是带有用户名/密码的数字证书。我有一个想法，为web应用程序做这件事，如何用样本数字证书与Java做这件事。有没有什么方法可以让我使用任何加密算法？与数字证书相关的缺点是什么?请给我一些详细信息。

Answer 1

最简单的方法是使用x.509 certificates。Oracle的Java™ PKI Programmer's Guide提供了使用x.509证书所需的Java的出色概述。许多Java开发人员将Bouncycastle包用于额外的加密API。

使用x.509证书的好处是几乎所有东西都支持它们。您可以轻松地将x.509客户端证书插入到大多数web浏览器中，并且大多数web服务器都可以轻松配置为接受它们。使用TinyCA程序设置您自己的Certificate Authority非常简单。( openssl命令行工具并不可怕，但TinyCA使指向和单击操作变得非常简单。)

x.509最大的缺点可能是在设置您自己的CA时涉及到的笨拙--所以许多程序都有一个CA根证书列表，这些证书都包含在程序中，并且提供您自己的根证书可能很烦人--以某种方式，您必须以一种防止篡改的方式将该文件传输到您的客户机。(如果您的CA根目录已经在软件中，这项任务将会更容易。)