Javascript 使用X509证书验证Docusign Connect签名
我正在设置Docusign Connect侦听器端点,以侦听文档的更改 我得到了返回并被解析的数据,但现在我要验证这些请求实际上来自Docusign。查看文档,我注意到他们可以选择使用X509证书签署此信息 就我个人而言,除了设置HTTPS之外,我对SSL没有做太多的工作,所以这有很多是猜测。我假设Docusign将使用X509证书(或者至少是某种X509证书)对他们的请求进行签名 我拿着上面的证书到处乱翻。它看起来好像是我仔细检查过的DER格式,它正确地转换为PEM格式(Javascript 使用X509证书验证Docusign Connect签名,javascript,node.js,https,docusignapi,x509,Javascript,Node.js,Https,Docusignapi,X509,我正在设置Docusign Connect侦听器端点,以侦听文档的更改 我得到了返回并被解析的数据,但现在我要验证这些请求实际上来自Docusign。查看文档,我注意到他们可以选择使用X509证书签署此信息 就我个人而言,除了设置HTTPS之外,我对SSL没有做太多的工作,所以这有很多是猜测。我假设Docusign将使用X509证书(或者至少是某种X509证书)对他们的请求进行签名 我拿着上面的证书到处乱翻。它看起来好像是我仔细检查过的DER格式,它正确地转换为PEM格式(----BEGIN C
----BEGIN CERTIFICATE-----
),我可以用/OpenSSL解析它
我将如何检查这些将访问服务器的请求的有效性?在StackOverflow上还有其他一些关于此的帖子,但大多数帖子似乎都集中于此,或者不太清楚。抱歉,如果我不清楚,这个问题的措辞不太清楚。人们这样做的一种方法是在web服务器上配置客户端证书身份验证。这样,在你的应用程序处理请求之前就完成了。这种类型的方法在连接上始终可用。例如,Apache能够做到这一点,IIS也应该能够做到
您引用的选项用于对SOAP请求的主体进行签名,前提是您还启用了SOAP。如果TLS连接已经允许您对客户端进行身份验证,那么为什么要使用此选项?当某种代理接收到连接时,它会将SOAP主体转发到另一个服务器/应用程序上进行处理。签署SOAP正文允许该应用程序正确验证它是否来自DocuSign,即使它无法访问TLS连接信息。啊,明白了,我想我在查看和以及您的解释后终于明白了。谢谢你的澄清!