SSLに加えてアプリケーション認証を備えた相互SSLサービスがあるとします。したがって、クライアントは証明書(およびサーバー)を提供しますが、クライアント要求(REST要求など)には、バックエンドアプリケーションサーバーが認証するユーザー名/パスワードも含まれます。
クライアント認証の「程度」に関しては、複数のレベルがあるようです。1つのレベル(a)は、クライアントがサーバーCAストアにあるCAによって署名された証明書を提供するためのものです。もう1つの明らかなレベル(b)は、サーバーが(a)に加えて、アプリケーションの資格情報が正しいことを確認することです。3番目のレベル(c)は、(a)と(b)を実行し、さらにクライアント証明書がアカウントに一意に関連付けられていることを確認することです。
(c)の利点は、「信頼できるCA」によって信頼されている誰かが、違法に取得されたアプリケーションパスワードを悪用するのを防ぐことです。
これはすべて非常にありそうもないことですが、単純に(a)または(b)ではなく、(c)が相互SSLの一部であるとどの程度想定されているのでしょうか。