0

我有一个网站,目前正在使用 https 进行安全登录和交易。除非您登录,否则您无法导航到主站点。

我收到了一位合作伙伴的请求,他询问他们是否可以从自己的 Web 应用程序无缝导航到我们的网站,而无需登录。该网站也使用 https。

我已经设置了一个“PartnerLoginPage.aspx”页面,并允许他们将 html 表单值发布到这个页面中(他们有正确的用户登录详细信息)。然后我根据发布的值对它们进行身份验证并将它们重定向到主站点。他们不需要登录,我已经对他们进行了身份验证,并且效果很好。

我最担心的是,这不是一种安全的用户身份验证方式。如果您将 html 表单值发布到 https 页面,数据是否仍然加密?只是出于兴趣,如果他们的网站不是 http 网站(它是),数据还会被加密吗?

例如,他们的 HTTPS-> 表单发布值 -> 我们的 HTTPS -> 表单发布值数据是否已加密?

他们的HTTP(注意:没有's')->FORM POST VALUES -> 我们的HTTPS -> FORM POST VALUES ENCRTYPED?

谢谢你的帮助,

斯图尔特

4

1 回答 1

0

假设所有密钥都是有效的,当然......

如果请求是通过 https 页面发出的,则请求会被加密(这意味着通过请求发送的 POST 值会被加密,而与目的地无关)。

如果请求是从非 https 页面向 https 页面发出的,则请求不会加密,但响应会加密,因此 post 变量不会加密(但返回的值会加密)。

HTTPS 本质上设置了正在交谈的服务器/页面是否使用加密,因此 http -> https = 非加密请求,加密响应,https -> http = 加密请求,非加密响应。

当然,可以在脚本级别设置安全级别,但我认为您的回答并不担心这一点。

快速发布脚本

你为什么不给合作伙伴网站一个像“用户名:合作伙伴,密码:sheswithme”之类的服务帐户?您可以使用 cURL 设置 cookie 并传递服务器变量,并让他们将表单指向发出请求的脚本,而不是让他们的用户半直接访问您的脚本。

于 2009-10-12T12:25:32.000 回答