我的网站目前正在使用https进行安全登录和交易。除非您登录,否则无法导航到主站点。
我收到了合作伙伴的请求,他们询问他们是否可以从他们自己的网络应用程序无缝导航到我们的网站,而无需登录。该网站也使用https。
我已经设置了一个“PartnerLoginPage.aspx”页面,并允许他们将html表单值POST到此页面中(它们具有正确的用户登录详细信息)。然后,我根据发布的值对它们进行身份验证,并将它们重定向到主站点。他们不需要登录,我已经对它们进行了身份验证,并且完美无缺。
我最担心的是,这不是一种验证用户身份的安全方式。如果将html表单值POST到https页面,数据是否仍然加密?只是出于兴趣,如果他们的网站不是一个http网站(它是),数据仍然会被加密吗?
例如他们的HTTPS-> FORM POST VALUES - >我们的HTTPS - >表格后评价数据加密?
和
他们的HTTP(注意:没有') - > FORM POST VALUES - >我们的HTTPS - >是形式的后期价值加密?
感谢您的帮助,
斯图尔特
答案 0 :(得分:0)
假设所有密钥都有效,当然......
如果请求是https页面,则请求被加密(意味着通过请求发送的POST值是加密的,无论目的地如何)。
如果请求是从非https页面发送到https页面,则请求未加密,但响应将是,因此post变量未加密(但返回的值将是)。
HTTPS实质上设置正在通话的服务器/页面是否使用加密,因此http - > https =未加密的请求,加密的响应,https - > http =加密请求,非加密响应。
当然,可以在脚本级别设置安全级别,但我认为您的答案并不担心。
为什么不向合作伙伴网站提供“username:partners,pw:sheswithme”等服务帐户?您可以使用cURL设置cookie并传递服务器变量,并让他们将表单指向发出请求的脚本,而不是让他们的用户半直接访问您的脚本。