2013-04-16 67 views
4

我正在使用asp.net web api,並且正在使用基本身份驗證來授權我的用戶。我需要HTTPS在所有需要授權的呼叫上,但對於我不需要授權(即註冊)的所有呼叫,我應該只在https上執行,以保持一致性?有沒有什麼像性能增益等,如果我不使用https進行這些調用可能會導致。使我的所有方法都需要https一個好主意?

+0

不是一個真正的答案,但特洛伊亨特有一些關於一些事情要考慮的博客文章:http://www.troyhunt.com/2013/04/5-ways-to-implement-https-in.html – Slapout

回答

3

對於大多數系統來說,HTTPS現在的開銷很小(請參閱How much overhead does SSL impose?)。我是HTTPS的忠實粉絲,因爲它的端到端安全性更高,幾乎沒有任何實施成本,但是你的里程可能會有所不同。如果您擔心它可能會對性能產生影響,請實施它,然後對您的應用進行配置,看看有什麼不同之處

2

Http提供更多性能,因爲https中的加密增加了請求和響應的大小,並且加密和解密需要額外處理。今天的機器非常快速地處理https,而沒有任何明顯的性能下降。 安全性更重要,然後幾乎沒有性能增益,如果您必須在註冊中傳遞用戶名/密碼,那麼它可能會違反安全性。

1

根據您的標籤,我將假設這裏可能會有一些AJAX 。如果事實確實如此,那麼堅持單一訪問方案會更好。否則會導致跨瀏覽器兼容性問題並可能引入安全漏洞。

除非你正在做類似傳輸大型媒體文件/流的事情,否則適度的性能提升可能不值得考慮。

注意:潛在漏洞超出了通過不安全連接發送敏感數據的明顯情況。例如參見https://developer.mozilla.org/en-US/docs/Security/MixedContent

相關問題