我對SSL的知識知之甚少,所以在遷移到HTTPS之前我有幾個問題。從HTTP到HTTPS時考慮的注意事項
所以一直在做大量的閱讀,現在我理解了公鑰和私鑰的交換。客戶端和服務器交換不對稱密鑰,以便最終他們可以擁有對稱密鑰。
這裏有幾個問題:
一旦用戶提供自己的用戶名和密碼,證書都OK,我會保存在會話中的用戶。
Context.Session["user"]
。在所有未來的頁面上,我將確保Context.Session["user"]
不爲空以呈現頁面。這將是安全的?客戶端不會只有Web瀏覽器也控制檯應用程序。如何防止控制檯應用程序在每次請求時都必須交換密鑰?有沒有辦法阻止一些頁面通過https訪問並通過http訪問?
我相信這是至關重要的會議否則每個請求我將不得不等待交換密鑰?保存了用戶是否登錄數據庫而不是會話是個壞主意?