ADAL (サードパーティの OAuth2.0 実装) を使用しています。Charles をプロキシとして使用して、通信の痕跡を収集しようとしています。私が想像していることは起こっています(何にも依存していません):
- ADAL は、Charles を通じて認証局に証明書を要求します。
- Charles は機関に証明書を要求し、それを ADAL に渡します。
- ADAL は機関で SSL チャネルを開きたいと考えていますが、実際には Charles で開きます。
- Charles は機関との SSL チャネルを開き、すべての要求/応答を ADAL に転送します。
ただし、ADAL は機関の証明書を拒否します。私の知る限り、証明書は暗号化されずに渡されます。上記のすべての手順の説明が正しかった場合、ADAL は、彼が話しているエンティティが、彼が話しているはずの機関とは違うことをどのようにして知るのでしょうか?