如题，单向校验比较好理解，访问大部分公开网站都是这样的，只是客户端校验连接的服务器返回的证书是不是匹配准备连接的域名。因为只有掌握域名，才能拿到指定域名的证书。

mtls 双向校验过程中，服务器也要校验客户端是否合法。我的疑问时，这种情况下，服务器校验的是客户端什么信息呢？客户端也不具备域名，只能校验下客户端发送的证书是不是同一个 ca 签发的？

看网上的实践，客户端和服务端证书也是分别签发的，只不过用的是同一个 ca ，两者并没什么关联。那么服务端如何认定客户端的证书是合法的呢？要不要解完客户端证书后，再验证某个字段是不是在服务端的允许范围内？