Google App Engine和HTTPS策略

时间:2012-08-11 11:18:58

标签: java google-app-engine http gwt ssl

我正在设计我的第一个GAE应用程序,显然需要使用HTTPS进行登录功能(无法以明文形式发送用户的UID和密码!)。

但是我对初次登录后如何处理请求感到困惑/不安。我看待它的方式,我有两个策略:

  • 将HTTPS用于所有内容
  • 从HTTPS(用于登录)切换回普通的'HTTP

第一个选项更安全,但可能会引入性能开销(?),并可能通过屋顶发送我的服务账单。第二种选择更快捷,更安全。

这里的另一个因素是这将是一个“单页面应用程序”(使用GWT),并且UI的某些部分将能够接受付款并且将需要安全传输财务数据。因此,某些AJAX请求可以是HTTP,但其他必须是HTTPS。

所以我问:

  • GAE有一个很好的表来解释传入/传出带宽资源,但从未具体定义可以为HTTPS专用的I / O带宽。有人知道这里的限制吗?我打算使用“Billing Enabled”并为应用程序支付一些费用(以及更高的资源限制)。
  • 是否有可能拥有一个GWT /单页面应用程序,其中UI的某些部分使用HTTP而其他部分使用HTTPS?还是“全有或全无”?
  • 是否有使用全HTTPS策略的真实性能?

了解这些将有助于我在HTTP / S混合解决方案或纯HTTPS解决方案之间做出决定。提前谢谢!

2 个答案:

答案 0 :(得分:1)

对于传入带宽,

You pay for http and https相同,您应该看到实例小时数有任何差异。唯一的区别是您需要为SNI或VIP支付one time pay(每月)

答案 1 :(得分:1)

如果您开始混合使用http和https请求,那么您就像使用http一样安全,因为任何http请求都可能被截获并可能引入可能的XSS攻击。

如果你认真对待你的安全性,那么假设你只需要https来获取合理的数据并用http传输剩下的就会给你带来很多麻烦。

相关问题
最新问题