我被分配了在整个网站上不使用SSL的任务。网站上没有任何内容是保密的,但由于PCI合规性,因此需要具备某种保护功能。作为妥协,我提出使用HTTPS(SSL)身份验证,并允许站点的其余部分通过HTTP运行。
是否可以通过SOAP(如SOAP)等Web服务通过HTTPS(SSL)进行身份验证,然后通过HTTP返回浏览器?
我见过使用SSO与CAS和Active Directory无会话的实现,它允许通过HTTPS进行身份验证并将其他所有内容保留在HTTP中。我想完成同样的事情(仅通过SSL验证),但没有SSO和Active Directory。我正在运行Windows Server 2008 R2,Tomcat 5.5和IIS 7.5。
非常感谢您的帮助。