我们希望创建一个自签名证书,并将其手动安装在客户端PC上,并将私钥标记为不可导出。客户端调用一个ASP.NET Web API,我们希望在那里检查是否安装了该特定证书。我们希望将此作为另一种身份验证方法来执行,以确保只有有效的客户端才能调用Web API。我们知道这不是防水的,因为它仍然可以导出私钥,但我们有其他额外的身份验证机制,如用户密码。
有没有可能从asp.net-core配置JwtBearer,使其可以使用所需的签名密钥(在我的例子中是公钥)来验证用户是否获得授权?o.BackchannelHttpHandler = new HttpClientHandler(); IssuerSigningKey = "here should be p