HTTPS請求HTTP丟棄頭部？

Question

這更好奇，因爲我無法找到任何有關此現象的答案或文檔，但以下是這種情況：

有2個服務/應用程序，都託管在IIS 7上。服務1收到HTTPS請求從外部來源（瀏覽器，提琴手等），並驗證它需要調用服務2的請求，所以服務1通過HTTP將它自己的，新的，單獨的呼叫傳送到服務2. 這個調用有一個授權頭被添加到請求對象。當服務2收到此呼叫時，認證標頭消失，好像被剝離一樣。因此，認證失敗，這返回到服務1，然後拒絕外部呼叫。

有沒有人有解釋爲什麼這個頭，和我在測試中看到的一些其他人不能通過HTTP調用？這是IIS或ASP.NET的行爲嗎？如果服務2的呼叫是HTTPS，那麼頭文件通過罰款。我生成這樣的請求：

string uriendpoint = "http://service.test.com/testService.svc/authtest"; 
HttpWebRequest request = (HttpWebRequest)WebRequest.Create(uriendpoint); 
request.Credentials = CredentialCache.DefaultCredentials; 
var authField = MD5Hash("test:test!!2013"); 
request.Headers.Add(HttpRequestHeader.Authorization, authField.ToString()); 
request.Method = WebRequestMethods.Http.Get; 
HttpWebResponse response = (HttpWebResponse)request.GetResponse(); 

Answer 1

我的同事遇到了這種行爲的根本原因是IIS的「URL重寫」模塊。我們設置了將http請求永久重定向到https，並且此重定向是標頭被刪除的位置。 IIS做這件事有點奇怪，但我想我會嘗試一些其他方法來解決這個問題。

Answer 2

很可能「服務2」的代碼與「如果傳入請求是HTTP忽略授權標頭」類似。這是非常合理的行爲，因爲HTTP流量可以非常容易地被嗅探和重播 - 所以誠實的服務器可以阻止呼叫者免受潛在的不安全行爲。