web-dev-qa-db-fra.com

Utilisation de l'authentification par clé publique pour les sites Web

Je sais que GitHub l'utilise pour le développement de code (pas l'authentification d'utilisateur pour le site Web cependant). J'ai vu cet article sur l'idée: http://neverfear.org/blog/view/3/Secure_website_authentication_using_GPG_keys

Existe-t-il un plugin ou un code open source permettant d'authentifier les utilisateurs d'un CMS (par exemple, Drupal, Wordpress, Django, etc.) avec des signatures de clé publique-privée?

Quelqu'un a-t-il déjà implémenté ce type d'authentification de site Web?

3
clinton bowen

Ce que je pense que vous entendez par là est SSL mutuellement authentifié , si le visiteur présente sa clé comme un jeton d’authentification. Je l'ai mis en œuvre et il peut être assez difficile à mettre en œuvre à moyenne ou grande échelle, car il est généralement nécessaire de créer une infrastructure PKI de support avec Self Service.

Si vous implémentez une petite version avec ceci comme seul facteur d'authentification, le moyen le plus simple consiste à utiliser les plugins TLS/SSL fournis par votre serveur Web et à ce que cela authentifie automatiquement votre utilisateur autorisé dans le service de support - aka Drupal ou Wordpress, etc. - une fois le certificat vérifié.

En tant qu'authentification à plusieurs facteurs, vous devez configurer le même service que ci-dessus et les rediriger vers la page d'authentification du service de support que vous utilisez une fois le certificat vérifié.

2
Daniël W. Crompton