У меня есть устройства с отпечатками пальцев. В этом устройстве есть закрытый ключ RSA и идентификатор пользователя. У меня есть инструмент, написанный на C, для распознавания этого устройства и чтения этой информации, если отпечаток пальца распознан правильно. Этот инструмент запрашивает имя пользователя, пароль и конкретный IP-адрес для входа в конкретный веб-сервис. Веб-сервис написан в ядре dotnet, и я использую модель ASP.NET Core Identity для аутентификации моих пользователей. Каждый пользователь связал открытый ключ RSA. Для входа на веб-сервер инструмент, написанный на C, автоматически открывает браузер, публикуя URL-адрес, подобный следующему:
https://webappaddress:5000/api/logintoken?user=username&password={hashed (pwd with private key + randomNum)}&nounce={hashed randomNum with private key}
Если password правильно и randomNum отличается от предыдущего (илиотличается от нуля, если пользователь никогда не входит в систему) веб-служба правильно регистрирует пользователя.
Этот тип входа должен быть уверен, что пользователь, который хочет использовать мой сервис, физически расположен перед компьютером. Является ли метод аутентификации такого типа надежным и безопасным или есть возможность реплицировать запрос http и войти в систему с другого компьютера?