1

我正在设计我的第一个 GAE 应用程序,显然需要使用 HTTPS 来实现登录功能(不能以明文形式发送我的用户 UID 和密码!)。

但是我对初次登录后如何处理请求感到困惑/紧张。在我看来,我有两种策略:

  • 一切都使用 HTTPS
  • 从 HTTPS(用于登录)切换回普通 ole' HTTP

第一个选项更安全,但可能会引入性能开销(?)并可能将我的服务账单发送到屋顶。第二种选择更快、更容易,但安全性较低。

这里的另一个因素是这将是一个“单页应用程序”(使用 GWT),UI 的某些部分将能够接受付款,并且需要安全传输财务数据。所以一些 AJAX 请求可能是 HTTP,但其他的必须是 HTTPS。

所以我问:

  • GAE 有一张漂亮的表格来解释传入/传出带宽资源,但从未具体定义可以为 HTTPS 分配多少 I/O 带宽。有人知道这里的限制吗?我计划使用“启用计费”并为该应用程序支付一点费用(以及更高的资源限制)。
  • 是否有可能有一个 GWT/单页应用程序,其中 UI 的某些部分使用 HTTP,而其他部分使用 HTTPS?还是“全有或全无”?
  • 使用全 HTTPS 策略是否有任何实际性能?

了解这些将帮助我在 HTTP/S 混合解决方案或纯 HTTPS 解决方案之间做出选择。提前致谢!

4

2 回答 2

1

您为传入带宽支付的 http 和 https 费用相同,并且您应该看到实例小时数的任何差异。唯一的区别是您需要为 SNI 或 VIP 支付的一次性费用(每月)

于 2012-08-11T12:29:20.620 回答
1

如果您开始混合使用 http 和 https 请求,您将与使用 http 一样安全,因为任何 http 请求都可能被拦截并可能引入 XSS 攻击。

如果您认真对待您的安全性,请阅读它,假设您只需要 https 来获取敏感数据并使用 http 传输其余部分会给您带来很多麻烦。

于 2012-08-11T13:58:28.093 回答