0
使用HTTPS進行身份驗證很常見,因此客戶端的身份驗證詳細信息無法被嗅探。但是,一旦用戶登錄後,隨後對Web應用程序的調用會傳遞某種身份驗證ID,然後該Web應用程序將使用該身份驗證ID進行授權,但這應該不是HTTPS? Facebook如何做這件事?似乎更容易使所有流量HTTPS。HTTPS應該用於涉及授權的所有呼叫
A
回答
3
2
假設服務器可以處理它,我走了一步,並使用SSL 一切,無論用戶登錄或不。
這樣做的好處是竊聽者甚至不知道用戶是以訪客身份還是以經過身份驗證的用戶身份訪問您的網站/應用。它還可以讓您不必決定何時使用SSL,什麼時候不使用SSL。
相關問題
- 1. Omniauth授權的呼叫使用Ajax
- 2. 授權報頭是在第二呼叫
- 3. 使用WebMock Stubing HTTPS呼叫
- 4. 基於所有者的授權
- 5. MySQL授權的所有特權是沒有得到應用
- 6. asp.net授權問題授權所有人
- 7. 從https://呼叫http:// url
- 8. 「所在地」基於授權
- 9. 如何授權頭添加到IO.socket呼叫的Android
- 10. 如何取消之前的Facebook重新授權呼叫?
- 11. 呼叫應答器的異步呼叫
- 12. MYSQL中涉及的所有項目
- 13. 呼叫從應用
- 14. 使用intel.xdk撥打https呼叫
- 15. 使用Jmeter記錄HTTPS移動呼叫
- 16. ajax呼叫沒有迴應
- 17. 電話呼叫權限
- 18. Facebook的授權及登錄
- 19. 授予所有用戶mysql的權限?
- 20. SignalR授權屬性不叫
- 21. 授權失敗TIHTHTTP over HTTPS
- 22. 通過https的Ajax呼叫SSL
- 23. HTTPS請求與授權不通過Safari的工作與授權頭通過HTTPS
- 24. 應該有條件的換行呼叫或代碼?
- 25. Rails 3 CanCan授權範圍所有權
- 26. 客戶端應用程序與REST https呼叫
- 27. 在DDD中是否應該通過聚合根路由所有呼叫?
- 28. 功能利用 - 使用應用與直接呼叫呼叫
- 29. 沒有呼叫
- 30. 有關呼叫