Я использую ADAL (сторонняя реализация OAuth2.0). Я пытаюсь собрать следы общения, используя Чарльза в качестве прокси. То, что я представляю, происходит (ни на что не полагаясь):
- ADAL запрашивает сертификат у Управления через Чарльза
- Чарльз запрашивает сертификат у органа и передает его в ADAL.
- ADAL хочет открыть SSL-канал с Администрацией, но на самом деле открывает его с Чарльзом.
- Чарльз открывает канал SSL с центром и перенаправляет любые запросы/ответы в ADAL.
Однако ADAL отклоняет сертификат центра. Насколько я знаю, сертификаты передаются в незашифрованном виде. Итак, если я был прав в описании всех вышеперечисленных шагов, откуда ADAL знает, что сущность, с которой он разговаривает, на самом деле не является Органом, с которым он должен разговаривать?