我有一个关于我是否真的需要SSL的问题。方案如下:
我目前有两个应用程序,它们都是Java webapps。其中一个是通过Spring Security保护的RESTful Web服务从另一个获取数据,但我的问题是它在URL中发送用户名和密码,以便其他应用程序可以使用LDAP进行身份验证和授权。最后这两个应用程序将在JBoss AS 7服务器上运行,所以即使其中一个是客户端而另一个是服务器,它们将在一台服务器上运行,这让我感到困惑(即使它们将使用多个实例)他们仍将在同一网络中的JBoss。此外,在第三方签署证书似乎没有必要,因为我真的不在乎是否有人会信任我的服务器应用程序,而且我再次发现我可以实现自己的证书颁发机构,但在我看来这似乎是一种过度杀伤力。
总结一下:如果我只关心加密的请求(或者只是其部分 - 用户名和密码),我是否需要启用SSL并提供它所需要的一切,还是有更简单的方法来实现它?