我有一个MVC3网络应用程序,可以自定义StarterSTS的自定义.我要求知道领域和身份验证要求SSL.
它很有效.
问题是当用户回到我们使用https浏览的网站时.这不是我想要的经验.我的网站不是银行或类似的东西.我认为认证对话应该是安全的(我认为)和令牌加密(我敢肯定).但是,如果我在验证后手动将网址从https更改为http,则表示我未获得授权.
1)为什么?
2)是否可以回归http?或者......我是否应该要求https进行身份验证,但保留令牌加密?
那么 - SSL有什么问题?`
令牌应始终使用SSL传输 - 即使它已加密,也可以重播等.此外,生成的会话令牌需要受到保护.所以我会选择SSL(易于设置)而不用担心因不使用而导致的攻击(难以实现).
这就是说 - 您可以关闭wsFederation(requireHttps ="false")和嵌套的cookieHandler(requireSsl ="false")配置元素的SSL要求.
| 归档时间: |
|
| 查看次数: |
278 次 |
| 最近记录: |