0

通常使用 HTTPS 进行身份验证,因此无法嗅探来自客户端的身份验证详细信息。但是,一旦用户登录,随后对 Web 应用程序的调用就会传递某种身份验证 ID,然后 Web 应用程序将使用该身份验证 ID 进行授权,那不应该也是 HTTPS 吗?这在 Facebook 之类的东西中是如何完成的?使所有流量都使用 HTTPS 似乎更容易。

4

2 回答 2

3

杰夫阿特伍德的回答:

http://www.codinghorror.com/blog/2012/02/should-all-web-traffic-be-encrypted.html

于 2012-04-20T09:01:03.593 回答
2

假设服务器可以处理它,我会更进一步,对所有内容都使用 SSL ,无论用户是否登录。

这样做的好处是窃听者甚至不知道用户是作为访客还是作为经过身份验证的用户访问您的站点/应用程序。它还使您不必决定何时使用 SSL,何时不使用。

于 2012-04-20T09:08:24.757 回答