使用HTTPS进行身份验证很常见,因此无法嗅探客户端的身份验证详细信息。但是,一旦用户登录,然后对Web应用程序的后续调用传递某种auth id,然后Web应用程序将用于授权,是否也不是HTTPS?这是如何在Facebook这样的事情上完成的?似乎更容易使所有流量HTTPS。
答案 0 :(得分:3)
答案 1 :(得分:2)
假设服务器可以处理它,我会更进一步,使用SSL来所有,无论用户是否登录。
这样做的好处是,窃听者甚至不知道用户是以访客身份还是以身份验证的用户身份访问您的网站/应用。它还使您不必决定何时使用SSL,何时不需要。