我有一个使用客户端身份验证的Web应用程序，可以正常工作。

我的问题：Web应用程序需要与第三方RESTful服务进行交互。踢球：该服务要求客户​​端身份验证使用与Web应用程序相同的证书。基本上，Web应用程序将代表登录到我的Web应用程序中的用户进行这些RESTful调用。

如果没有在Web应用程序中访问私钥，我认为这是不可能的。我有什么想念的吗？

谢谢你的尽心帮助。

因此，您担心将应用程序的安全性暴露给第三方服务吗？
我对第三方服务如何知道认证与您的Web应用程序为用户生成的认证相同感到困惑。您能否提供有关第三方服务的更多信息？我从未见过第三方服务会要求您提供有关您应用程序的用户信息，但是通常所有各方都会通过口头或其他方式生成共享证书。
听起来好像该应用程序正在使用公共API，如果该应用程序代表用户发出所有请求，则您只需在将其应用到服务中之前将应用程序的信息包装到每个请求中，这样用户就不会真正看到任何东西。我认为没有必要使用户可以访问它们。我误会这个问题了吗？