Security 确保无凭据的客户端/服务器身份验证

我正在研究如何确保客户端应用程序和服务器之间的通道安全

我有一个富桌面客户端（win）和移动客户端连接到Web服务，交换数据

使用SSL证书，服务器和客户端可以相互信任。在安全连接上，我可以交换用户名和密码，从而对用户进行身份验证

然而，在某些情况下，用户必须通过这两种方法中的任何一种连接到服务器，而不需要他的凭据，而只需要一个文本，比如说，一个车牌号

我真的想确保在这种情况下，我只允许从我确信我知道的设备进行客户端连接，因为没有进一步的身份验证检查，而且车牌号是一个非常常见的文字

---

如何确保只有我的服务器知道的“设备”才能与我的服务器交互？

请检查TLS预共享密钥（）是否可用于您的场景。

如果您想验证设备，您需要找到一种方法，让设备证明它是什么，而不泄露其秘密

一个类似于车牌的系统很容易被欺骗，任何人都可以看到这个号码。根据您对此设备的控制程度，您可能无法隐藏它，即使与服务器的连接使用SSL/TLS进行保护

一种可能的方法是使用加密硬件令牌（或智能卡）。其中一些令牌可以配置为持有证书和私钥，能够使用私钥而不导出私钥。加密操作（签名和解密）发生在令牌本身上

您可以使用它们对服务器执行客户端证书身份验证。在本例中，您将知道客户机拥有该令牌。如果您知道CA仅为此类令牌中的密钥对颁发了证书，那么这可能会起作用：管理CA来处理这一问题需要花费一定的成本

---

这至少允许您将身份验证绑定到特定令牌。您是否可以将其与整个设备集成取决于您拥有的设备类型。

这有助于将预共享密钥绑定到特定设备，而无需其他副本？