在 SSL 加密 Cookie 中保存会话与在客户端证书中保存会话

Question

背景：从桌面应用程序，用户将导航到 SSL 加密的门户网站，如果这是他们第一次登录，则必须输入用户名/密码。我希望能够安全地保留他们的用户会话。我正在考虑使用加密的 cookie，存储他们的用户名和唯一的会话令牌/密钥，但想知道客户端证书在安全性方面提供了哪些好处。

目前我所理解的方式是：

加密cookie：

• 像任何其他cookie一样保存在用户的计算机上
• 由于整个站点都是SSL，因此cookie的内容无法被篡改
• 易于实现
• 当用户登录时再次，使令牌/密钥无效并发出新的

问题：

• 任何尝试使用保存的会话访问计算机上的 Web 门户的人都可以，但这是任何持久会话的问题， 正确的？
• 我如何知道计算机 A 就是计算机 A，而不仅仅是复制了计算机 A cookie 的计算机 B？

客户端证书：

• 安装起来很麻烦
• 将唯一地标识该人的计算机（或者可以限制为用户帐户）到门户网站
• 如果客户端证书被盗，则该帐户将被盗用

问题：为了以最高的安全性持久保存用户会话，加密的 cookie 是否足够，或者我是否需要安装客户端证书？它们有何不同？

Answer 1

2-face-authentication（客户端证书）并不意味着持久会话。每次用户访问该页面时，都会使用客户端证书对站点进行身份验证。根据客户端策略（或 AD），用户可能会输入 PIN 才能提交证书或从安装到证书存储的证书列表中进行选择。