你的問題我已經(jīng)大致明白,記住,你是用的SSL協(xié)議棧上的HTTP,實際上HTTP安全機制有很多種,如 S-HTTP(RFC2660,The Secure HyperText Transfer Protocol),TLS協(xié)議層上HTTP。關(guān)于SSL協(xié)議層上的編程加密,你可以用百度搜一些找關(guān)于OpenSSL編程方面的知識。這里提供一篇文章作為參考,鏈接如下:
http://blog.csdn.net/darkstar21cn/archive/2005/05/01/370343.aspx
。
對于你提到的問題,我回復(fù)如下:
如果你的客戶端不需要向服務(wù)器發(fā)送證書,那么服務(wù)器是不能知道客戶的身份的,可見你的客戶端只需要知道服務(wù)器的身份,如果服務(wù)器想知道客戶端是誰,可以在UI界面添加用戶登陸框,通過此方法把用戶登陸信息提交給服務(wù)器,這樣作是安全的,因為客戶端和服務(wù)器是在SSL協(xié)議層上進(jìn)行通信,客戶端向服務(wù)器提交的數(shù)據(jù)在SSL上是進(jìn)行了加密的。
總之,是沒問題的。但是你說的建立SSL鏈接后,就像HTTP服務(wù)器發(fā)請求,你說的太簡單,理論上關(guān)于協(xié)商,加密都是SSL層來實現(xiàn),去搜一些OpenSSL編程方面的知識吧,OpenSSL提供了一些訪問SSL層的接口,網(wǎng)上有很多例子。
@michael