Проверка цепочки сертификатов в Web API

Здравствуйте. Встала такая задача: нужно написать виджет, работать который будет только у клиентов, оплативших его. Виджет - веб-приложение из фронта на реакте и веб апи на шарпе. Первоначально была идея проверять по домену, но пришло осознание, что возможно подделать домен для использования в локальной сети, и таким образом выдать себя за нашего реального клиента. Подумала и пришла к иному решению: проверять цепочку сертификатов, пришедших мне в апи с виджета, куда цепочка сертификата приходит с сайта клиента. Возможно даже, проверять корневой сертификат. Таким образом самоподписанные сертификаты должны пойти нахер, а подписанный УЦ сайту-копии никто не выдаст. Вижу резон проверку делать именно на стороне веб апи, так как вызовы апи будут трэкаться в консоли разработчика и, если проверять сертификат на фронте, то апи остаётся таким же беззащитным. Сама я в SSL не шарю, и кое-что поняла только из часовой беседы с любимым сис. админом, а ответ, как всё будет работать, нужно дать уже сегодня. Сама я нашла вот эту статейку, где всё разруливается через AuthenticationHandler. Весьма удобно и, кажется, подходящее решение для меня. Подскажите пожалуйста, люди добрые и опытные, всё ли так однозначно? Нет ли подводных камней в таком решении? Если вдруг что: виджет расположен у нас, подключается через iframe, запрос будет идти с нашего сайта, и он в cors-policy прописан.

0

Здравствуйте! Может быть время ответа истекло, но всё же хочу поинтересоваться вашей проблемой и что то посоветовать.

Во первых, правильно ли я понимаю что виджет - это графическое приложения для Windows.

Во вторых, этот виджет будет взаимодействовать с вашим сервером, точнее бекендом и дёргать API для получения какой то информации и отображения её у клиента.

В третьих, взаимодействие между виджетом установленным у клиента и бекендом на вашем сервере должно быть защищенным и использовать протокол HTTPS.

В четвёртых, этот виджет вы хотите сделать платным и тем самым регулировать функциональность приложения в зависимости от оплаты со стороны клиента.

Если всё так как я описал, то причём тут проверка сертификата? Проблема состоит в том чтобы каким то образом отслеживать оплату виджета клиентом? Тогда причём тут сертификат или я что то упускаю.

0