我被分配了不在整个站点上使用 SSL 的任务。网站上没有什么是保密的,但由于 PCI 合规性,这些权力需要有某种保护。作为一种折衷方案,我提出使用基于 HTTPS (SSL) 的身份验证,并允许站点的其余部分通过 HTTP 运行。
是否可以通过 HTTPS (SSL) 进行身份验证,通过 SOAP 等 Web 服务,然后通过 HTTP 返回浏览器?
我已经看到将 SSO 与 CAS 和无会话的 Active Directory 一起使用的实现,它们允许通过 HTTPS 进行身份验证,并将其他所有内容保留在 HTTP 中。我想完成同样的事情(仅通过 SSL 进行身份验证),但没有 SSO 和 Active Directory。我正在运行 Windows Server 2008 R2、Tomcat 5.5 和 IIS 7.5。
非常感谢您的帮助。