Azure应用程序服务中客户端证书模式的“允许”选项的目的是什么？

Question

我试图通过添加一个.pfx证书来保护我的Azure应用程序。

在Azure门户中，我添加了pfx文件：App Service -> TLS/SSL settings -> Private Key Certificates (.pfx) -> Upload Certificate

然后在设置刀片：Configuration -> General Settings -> Incoming client certificates -> Client certificate mode，我们有三个选项:要求，允许和忽略。

• 如果我选择Ignore，我可以导航到我的网站，无论我是否安装了证书在我的计算机。
• 如果选择Require，只有在我的计算机上安装了证书之后，我才能导航到我的网站。
• 如果我选择Allow，这个操作类似于Ignore选项:我可以在我的计算机上安装证书的任何地方导航到我的网站。

那么，Allow选项的目的是什么？我没有发现任何关于这件事的细节。

​

​

Answer 1

“允许”选项允许使用证书和AAD令牌对应用程序进行身份验证。

当选择“允许”时，应用程序将请求一个证书-通过该证书可以使用它进行身份验证。但是，当没有提供证书时，该应用程序也会传递请求--通过该证书可以使用令牌进行身份验证。

请注意，验证此令牌的代码责任在AAD中是有效的(就像验证证书一样)。

其他备选方案：

• "require"将在没有提供证书的AppService级别上阻止请求，因此不启用令牌。
• “忽略”根本不需要证书，因此它不启用使用证书。

因此，“允许”解决了这个问题，并允许应用程序同时启用身份验证。

在这里阅读更多信息：文档

Answer 2

Allow选项意味着应用程序将请求证书，但如果没有提供证书，则不会失败。这与Ignore不同，因为忽略选项一开始不会请求证书。