这是我们到目前为止所做的:
1. 设置 SharePoint 以使用 FBA 对抗 AD。
2. 将登录页面移至 Secure/Login.aspx
3. 在 web.config 中将相应的登录 url 设置为https://..../Secure/Login.aspx
这不起作用,这里需要帮助。但是,即使这可行,我们如何让用户从 https 回到 http?
没有太多的意义。如果唯一加密的是 Login.aspx 页面,这意味着有人可以嗅探所有未通过登录页面发送的流量。
这可能会阻止人们获取用户:通过,但您的所有其他数据都会暴露。
除了所有暴露的数据,以及可以在途中更改的用户操作外,用户的会话 id(或其他身份验证数据)以明文形式发送。这意味着攻击者可以窃取您的 cookie (...) 并在系统中冒充您,即使没有获得您的密码。(如果我没记错的话,SPSv.3 也支持内置密码更改模块......)
所以我会说这不是一个好主意,除非你不太关心那个系统......但是,为什么还要打扰认证?只是让它匿名?
我同意 AviD 和 Dan Williams 的观点,即仅保护登录页面并不是一个好主意,因为它会在离开密码页面后暴露其他数据。但是,您可以通过 IIS 管理器仅对 login.aspx 页面要求 SSL。如果您导航到 IIS 管理器中的 login.aspx 页面(我相信它在 下/_layouts),您可以右键单击单个文件并选择Properties. 从那里,转到File Security选项卡并单击Edit...下的按钮Secure communications。在那里,您可以选中该Require secure channel (SSL)框,并且仅该页面需要 SSL。
我不赞成让用户从那里返回 http,但我相信它的默认行为是在登录成功时将您发送到请求的页面。如果没有,我认为您可以自定义登录页面在成功登录时向您发送的位置。