我打算在登录表单上使用SSL,以便在用户登录期间加密用户名和密码。
但是,在用户通过身份验证后,如果我返回HTTP,则会在每次请求时将Autentication Cookie从客户端传递到服务器。这有多安全?显然,我会在用户输入敏感信息的页面上使用SSL,但在大多数情况下,出于性能原因,我只是希望它们保持身份验证并使用HTTP。
我注意到如果我在web.config中的表单身份验证部分设置RequiresSSL =“True”,那么如果我使用HTTP则不会传递身份验证cookie,因此我无法识别当前用户。
我想我的问题是:
“设置RequiresSSL =”false“并允许身份验证Cookie通过HTTP ”是不好的做法?“
答案 0 :(得分:1)
如果您设置protection="All"
,则表单身份验证Cookie已加密并使用服务器的计算机密钥进行检查,因此退回到HTTP并不是特别糟糕。