在WIF STS身份驗證後回到正常Http

Question

我有一個MVC3網絡應用程序，它可以對定製的StarterSTS進行身份驗證。我需要了解領域並認證需要SSL。

它的工作原理很棒。

問題是當用戶重新登錄到我的網站時，他們正在使用https瀏覽。這不是我想要的體驗。我的網站不是銀行或類似的東西。我覺得認證對話應該是安全的（我認爲）並且令牌加密（我敢肯定）。但是，如果我手動更改網址從https到我的答覆的Web應用程序在認證後說我沒有被授權。

1）爲什麼？

2）是否有可能回落到http？或...我是否不需要https進行身份驗證，但將令牌加密？

Answer 1

嗯 - 這有什麼錯SSL`

令牌應使用SSL進行傳輸總是 - 即使它是加密的，也可能等 也由此會話令牌需要被保護的重播。所以我會選擇SSL（易於安裝），不用擔心由於不使用而導致的可能的攻擊（很難實現）。

這一切都說 - 您可以關閉wsFederation（requireHttps =「false」）和嵌套cookieHandler（requireSsl =「false」）配置元素的SSL要求。