当涉及到网络上的身份验证时, 我们几乎都熟悉的密码-山之王, 臭名昭著的既缺陷, 也其无处不在。在密码之外, 您经常会遇到身份验证方案, 如令牌共享 (例如, oauth 或 rsa 令牌)。您很少看到的另一种方法是低级客户端证书形式的身份验证。客户端证书与更流行的服务器证书相关, 并且存在于相同的 tls 握手中。换句话说, 来自 web 浏览器的询问服务器是否具有 ssl 证书的初始连接也涉及服务器询问浏览器是否具有 ssl 证书。由于前者在 https 中的使用, 在过去十年中, 前者的采用意义重大。客户端证书仅对身份验证有用, 因此相比之下, 它们的采用比服务器证书更受限。尽管它缺乏受欢迎程度和一些繁琐的方面, 客户端证书是兼容的现代桌面浏览器和 web 服务器。对于某些用例, 为了 ssl 证书的绝对安全, 放弃密码的绝对便利是有意义的。