我想在烧瓶应用程序中使用HTTPS,但我不确定什么是最好的方法。我应该强制我的应用程序使用HTTPS,如http://flask.pocoo.org/snippets/111/中所述,还是应该通过Nginx使用HTTPS?
有没有人知道这两种方法可能出现的任何安全问题?
答案 0 :(得分:4)
在Nginx中终止HTTPS。
如果您正在运行一个小型部署,这将无关紧要,但如果您扩展,那么几乎不可能维持Flask处理SSL的实现。
如果有足够的流量,您将需要运行多个Flask实例。发生这种情况时,您需要使用负载均衡器。如果终止LB,则需要在证书过期时更新并维护一个证书。如果你在Flask上终止,你的努力会随着每个实例而增长。
从安全角度来看,仅将证书和密钥存储在一个实例(LB)上比在多个实例上存储它们更好。