Каков наилучший способ аутентификации нескольких клиентов на нескольких серверах? Я думал о системе на основе токенов, когда для каждого клиента генерируется токен, и для проверки этого добавляется специальный сценарий. Но тогда это означает, что пользователи уязвимы для атак MITM, поскольку они не используют ключи. Но создание клиента для каждого сервера с последующей перезагрузкой сервера и файлов ДЛЯ КАЖДОГО СЕРВЕРА просто недопустимо. Это также затрудняет отзыв. Каковы наилучшие методы аутентификации нескольких пользователей на нескольких серверах?
Возможно, я могу использовать подход, основанный на токенах, и попросить каждого пользователя использовать один и тот же .crt (или это .pem ??), просто чтобы подтвердить подлинность сервера и предотвратить атаки MITM.
Я думаю, что лучший способ сделать это - создать сертификаты (на основе решения PKI). Тогда вы можете иметь сертификат сервера для каждого сервера и сертификат клиента также для каждого клиента. Самый простой в этом случае - использовать формат PKCS12, который включает полную цепочку с CA, sub-ca и закрытым ключом.
Затем для управления отзывом вы можете использовать ответчик OCSP, который позаботится об ответе на запрос статуса отзыва.
Easy-RSA может позаботиться об этой простой PKI.