所有涉及授权的呼叫都应该使用HTTPS吗
通常使用HTTPS进行身份验证,因此无法嗅探来自客户端的身份验证详细信息。但是,一旦用户登录,随后对web应用程序的调用将传递某种身份验证id,然后web应用程序将使用该id进行授权,这不应该也是HTTPS吗?像Facebook这样的东西是如何做到这一点的?似乎更容易使用HTTPS实现所有流量。杰夫·阿特伍德的回答:所有涉及授权的呼叫都应该使用HTTPS吗,https,Https,通常使用HTTPS进行身份验证,因此无法嗅探来自客户端的身份验证详细信息。但是,一旦用户登录,随后对web应用程序的调用将传递某种身份验证id,然后web应用程序将使用该id进行授权,这不应该也是HTTPS吗?像Facebook这样的东西是如何做到这一点的?似乎更容易使用HTTPS实现所有流量。杰夫·阿特伍德的回答: 杰夫·阿特伍德的回答: 假设服务器可以处理它,我会更进一步,对所有内容使用SSL,无论用户是否登录 这样做的好处是,窃听者甚至不知道用户是以访客身份还是以经过身份验证的用户身份访问
杰夫·阿特伍德的回答:
假设服务器可以处理它,我会更进一步,对所有内容使用SSL,无论用户是否登录
这样做的好处是,窃听者甚至不知道用户是以访客身份还是以经过身份验证的用户身份访问您的站点/应用程序。它还使您无需决定何时使用SSL和何时不使用SSL。假设服务器可以处理它,我会更进一步,对所有内容使用SSL,无论用户是否登录 这样做的好处是,窃听者甚至不知道用户是以访客身份还是以经过身份验证的用户身份访问您的站点/应用程序。它还使您不必决定何时使用SSL,何时不使用SSL