Проверка цепочки сертификатов в Web API

@VikaShat · Регистрация: 30.12.2021

Студворк — интернет-сервис помощи студентам

Здравствуйте. Встала такая задача: нужно написать виджет, работать который будет только у клиентов, оплативших его. Виджет - веб-приложение из фронта на реакте и веб апи на шарпе. Первоначально была идея проверять по домену, но пришло осознание, что возможно подделать домен для использования в локальной сети, и таким образом выдать себя за нашего реального клиента. Подумала и пришла к иному решению: проверять цепочку сертификатов, пришедших мне в апи с виджета, куда цепочка сертификата приходит с сайта клиента. Возможно даже, проверять корневой сертификат. Таким образом самоподписанные сертификаты должны пойти нахер, а подписанный УЦ сайту-копии никто не выдаст. Вижу резон проверку делать именно на стороне веб апи, так как вызовы апи будут трэкаться в консоли разработчика и, если проверять сертификат на фронте, то апи остаётся таким же беззащитным. Сама я в SSL не шарю, и кое-что поняла только из часовой беседы с любимым сис. админом, а ответ, как всё будет работать, нужно дать уже сегодня. Сама я нашла вот эту статейку, где всё разруливается через AuthenticationHandler. Весьма удобно и, кажется, подходящее решение для меня. Подскажите пожалуйста, люди добрые и опытные, всё ли так однозначно? Нет ли подводных камней в таком решении? Если вдруг что: виджет расположен у нас, подключается через iframe, запрос будет идти с нашего сайта, и он в cors-policy прописан.

@no swear · 03.10.2022, 22:55

Здравствуйте! Может быть время ответа истекло, но всё же хочу поинтересоваться вашей проблемой и что то посоветовать.

Во первых, правильно ли я понимаю что виджет - это графическое приложения для Windows.

Во вторых, этот виджет будет взаимодействовать с вашим сервером, точнее бекендом и дёргать API для получения какой то информации и отображения её у клиента.

В третьих, взаимодействие между виджетом установленным у клиента и бекендом на вашем сервере должно быть защищенным и использовать протокол HTTPS.

В четвёртых, этот виджет вы хотите сделать платным и тем самым регулировать функциональность приложения в зависимости от оплаты со стороны клиента.

Если всё так как я описал, то причём тут проверка сертификата? Проблема состоит в том чтобы каким то образом отслеживать оплату виджета клиентом? Тогда причём тут сертификат или я что то упускаю.

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@VikaShat 0 / 0 / 0 Регистрация: 30.12.2021 Сообщений: 8

	Проверка цепочки сертификатов в Web API 16.09.2022, 11:21. Показов 1863. Ответов 1 Метки нет (Все метки) Здравствуйте. Встала такая задача: нужно написать виджет, работать который будет только у клиентов, оплативших его. Виджет - веб-приложение из фронта на реакте и веб апи на шарпе. Первоначально была идея проверять по домену, но пришло осознание, что возможно подделать домен для использования в локальной сети, и таким образом выдать себя за нашего реального клиента. Подумала и пришла к иному решению: проверять цепочку сертификатов, пришедших мне в апи с виджета, куда цепочка сертификата приходит с сайта клиента. Возможно даже, проверять корневой сертификат. Таким образом самоподписанные сертификаты должны пойти нахер, а подписанный УЦ сайту-копии никто не выдаст. Вижу резон проверку делать именно на стороне веб апи, так как вызовы апи будут трэкаться в консоли разработчика и, если проверять сертификат на фронте, то апи остаётся таким же беззащитным. Сама я в SSL не шарю, и кое-что поняла только из часовой беседы с любимым сис. админом, а ответ, как всё будет работать, нужно дать уже сегодня. Сама я нашла вот эту статейку, где всё разруливается через AuthenticationHandler. Весьма удобно и, кажется, подходящее решение для меня. Подскажите пожалуйста, люди добрые и опытные, всё ли так однозначно? Нет ли подводных камней в таком решении? Если вдруг что: виджет расположен у нас, подключается через iframe, запрос будет идти с нашего сайта, и он в cors-policy прописан. 0

@no swear 192 / 166 / 82 Регистрация: 01.07.2016 Сообщений: 943
	03.10.2022, 22:55
	Здравствуйте! Может быть время ответа истекло, но всё же хочу поинтересоваться вашей проблемой и что то посоветовать. Во первых, правильно ли я понимаю что виджет - это графическое приложения для Windows. Во вторых, этот виджет будет взаимодействовать с вашим сервером, точнее бекендом и дёргать API для получения какой то информации и отображения её у клиента. В третьих, взаимодействие между виджетом установленным у клиента и бекендом на вашем сервере должно быть защищенным и использовать протокол HTTPS. В четвёртых, этот виджет вы хотите сделать платным и тем самым регулировать функциональность приложения в зависимости от оплаты со стороны клиента. Если всё так как я описал, то причём тут проверка сертификата? Проблема состоит в том чтобы каким то образом отслеживать оплату виджета клиентом? Тогда причём тут сертификат или я что то упускаю. 0