虽然您可以在证书的临时扩展中填充您可以想象的所有内容，但这并不是一个好主意。特别是因为证书是由颁发它的证书颁发机构签署的，所以你在证书中输入的任何内容都必须首先通过 CA。

证书是关于身份验证的，这与授权不符。证书是长期存在的实体，不能随意更改；“修改”证书的唯一方法是撤销证书并颁发新证书；这不仅必须由 CA 完成，而且它本质上是一个异步过程：至少需要几个小时，更常见的是几天，才能以任何可靠性传播吊销信息（有些客户端根本不验证吊销。 ..)。对于与权限相关的任何事情，您都需要一个反应迅速的系统，因为当您想删除访问授权时，您希望现在就删除它，而不是下周。

如果在您的协议中，服务器对客户端有话要说，那么在握手之后，作为内部协议的一部分在 SSL 隧道中发送数据似乎更合适（就像 HTTPS 是 HTTP中的一样SSL 隧道）。

正如@Tom Leek 所说，客户端公钥证书（PKC）的主要目的是身份验证。在 PKIX 世界中存在属性证书的概念；这些通常是可用于授权目的的短期证书。还有支持授权信息交换的SAML。但是，这些协议很复杂，需要进行大量设置。如果它是一个简单的客户端服务器应用程序，也许您可​​以将用户的权限安全地存储在服务器上。一旦服务器使用 PKC 对客户端进行身份验证，您就可以查看他们的权限。

在某些情况下，需要离线支持，因此您不能依赖服务器-客户端通信进行授权。这意味着您必须使用证书作为您的授权机制，这不一定是坏事，只要您不关心传播所需的时间。此外，有时传播速度并不重要，因此这种方法将是完美的。只要确保客户端验证证书的签名者，你就可以开始了。我不会为属性证书而烦恼，因为在许多情况下，公钥也是必需的。