我在我的MVC应用程序中使用OWIN Identity 2来执行身份验证。这是通过HTTPS执行的。
我的问题是,一旦用户成功通过身份验证,是否有任何理由将它们保留在HTTPS上,或者从安全的角度来看,将它们放回HTTP是可以的,因为没有更多敏感的细节被转移?
我不确定在使用Identity 2时每个请求在客户端和服务器之间传输的确切内容,所以想先在这里查看。
答案 0 :(得分:1)
如果您要在请求中传输任何敏感内容,则应使用HTTPS(传输层安全性)。
身份2中的身份验证Cookie被视为敏感信息。
更不用说,当您不使用HTTPS时,您正在打开您的网站以进行被动和主动流量嗅探以及中间人攻击。
我建议你看看并熟悉OWASP Top 10:https://www.owasp.org/index.php/Top_10_2013-Top_10
这是一个非盈利组织,专注于提高软件的安全性。
如果您需要其他信息,我强烈建议您在Troy Hunt
上PluralSight.com学习一些课程