我有一个MVC3网络应用程序,可以对StarterSTS的自定义进行身份验证。我要求知道领域和身份验证要求SSL。
很有效。
问题是当用户回到我们使用https浏览的网站时。这不是我想要的经验。我的网站不是银行或类似的东西。我认为认证对话应该是安全的(我认为)和令牌加密(我敢肯定)。但是,如果我在验证后手动将网址从https更改为http,则表示我未获得授权。
1)为什么?
2)是否有可能回归到http?或者......我是否应该要求https进行身份验证,但是将令牌保持加密状态?
答案 0 :(得分:5)
嗯 - SSL出了什么问题?`
令牌应始终使用SSL传输 - 即使它已加密,也可以重播等。 此外,生成的会话令牌需要受到保护。所以我会选择SSL(易于设置)而不用担心因不使用而导致的攻击(难以实现)。
所有人都说 - 你可以关闭wsFederation(requireHttps =“false”)和嵌套的cookieHandler(requireSsl =“false”)配置元素的SSL要求。