Мы разрабатываем веб-страницу, которая использует протокол https (двусторонний).

Нам нужен доступ к закрытым сертификатам пользователя, потому что нам нужно подписывать документы сертификатом пользователя, поэтому мы разработали приложение Java, которое взаимодействует с Интернетом через веб-пакет.

Это приложение будет вызывать с помощью протокола вызова из Интернета (то же самое, что при открытии PDF-файла в Acrobat Reader из браузера).

Поэтому мы должны быть уверены, что наша сеть обращается к нативному приложению (только к нашей сети). Мы хотим разработать систему, чтобы быть уверенным в этом. Наша идея:

Отправьте открытый ключ, подписанный токен с помощью личного сертификата сервера и симметричный ключ (для шифрования соединений через веб-сокеты) в собственное приложение.Далее мы проверим в нативном приложении, что токен в порядке с веб-службой на сервере.После этого нам нужно будет открыть веб-сокет между собственным приложением и сетью и таким образом отправить подписанный документ собственным приложением.Затем отправил документ на сервер.

Безопасна ли эта реализация? Будем ли мы в безопасности от человека посередине?

Любые предложения по этому решению будут полезны, потому что я не вижу никаких недостатков, но я не эксперт по безопасности.

Я знаю другие решения этой проблемы, такие как апплеты, JavaFX или нативные сообщения в Chrome, но я только хочу знать, безопасно ли это решение.

Спасибо всем заранее и извините, если мой английский не самый лучший: P,