我正在尝试创建一个电子商务页面,并且我在所有页面中都有一个登录表单(包含在标题中)。我想说的是,当用户登录密码时,不能以纯文本字符串发送客户端和服务器之间的安全连接。这里的问题是我不想对所有页面使用https,只是为表单提交。
因为我使用了Spring安全性,所以我做了一点点研究,然后我找到了requires-channel =" https"对于intercept-url,但我注意到表单首先以纯文本形式发送登录信息,然后连接被转换为"到https。 我找到的另一种方法是更改表单的操作以使用https链接
<form id="login" action="https://localhost:8443/j_spring_security_check" method="POST" >
所有内容都以安全的方式发送(就像我预期的那样),调用了loadUserByUsername,一切都按预期工作,但是当作业完成后,用户似乎没有经过身份验证。看起来没有任何反应......
也许我错过了一些东西,或者我没有按照正确的垫子......有人知道我需要做什么或指向正确的方向吗?
编辑:我对此主题进行了更多挖掘,我开始想知道最好是保护整个网站而不是登录或注册表单。这将是一个电子商务网站,因此总是欢迎一些额外的安全性。我担心的是https与http使用相比的好处/性能(优点和缺点)(任何人都知道??)!
答案 0 :(得分:0)
经过多天的研究和测试(差不多一个月),我得出的结论是,解决这个问题的最佳方法是不使用表单的安全连接,而是整个应用程序(在我的情况下需要整个因为登录表单作为弹出元素存在于所有应用程序中。)
对于其他人来说,改变的原因是为了让客户确信数据是安全的并且网站是可信的(地址链接中的符号)...另外,我读到某个地方对SEO有好处!! / p>
我希望通过这个答案我可以澄清与我同样问题的人!!