Java 客户端身份验证（SSL）直通？

我有一个使用客户端身份验证的web应用程序，可以正常工作

我的问题是：web应用程序需要与第三方RESTful服务交互。Kicker：该服务需要使用web应用程序正在使用的相同证书进行客户端身份验证。基本上，web应用程序将代表登录到我的web应用程序的用户进行这些RESTful调用

我认为如果不在web应用程序中访问私钥，这是不可能的。我遗漏了什么吗

---

感谢您提供的帮助。

那么您担心的是向第三方服务暴露应用程序的安全性？ 我对第三方服务如何知道认证与您的web应用程序为用户生成的认证相同感到困惑。你能提供更多关于第三方服务的信息吗？我从未见过第三方服务会要求用户提供有关你的应用程序的信息，但通常所有各方都会通过ouath或其他方式生成共享证书。

---

这听起来像是应用程序正在访问一个公共API，如果应用程序代表用户发出所有请求，那么在访问用户的服务之前，您只需将应用程序的信息包装到每个请求中，这样用户就不会真正看到任何东西。我认为没有必要让用户可以访问它们。我是不是误解了这个问题？

你是对的。web应用程序必须对RESTFul应用程序有自己的身份、自己的证书、密钥对等。很酷，很好。谢谢你的确认。第三方才是真正将证书列入白名单的人。我只是在使用它们，因为它们已经存在了。第三方不关心应用程序，只关心用户。我的商业案例是一个web应用程序，它的价值超出了第三方服务提供的价值。问题是要成功打开HTTPS连接进行客户端身份验证，我需要每个用户的私钥…三个问题，没有答案。应该以评论的形式发布。我是新手，它不允许我这么做=/