我正在使用第三方Web服務。爲了讓我的用戶能夠訪問他們的第三方帳戶,他們需要登錄。我爲他們提供了從我的網站登錄到第三方網站的界面。我的問題是,如果web服務已經提供了一個,我需要一個SSL certificate嗎? webservice有一個特殊的登錄方法,它使用https協議。這是否意味着我不需要一個用於我的網站,或者我需要爲我的網站購買SSL證書?如果使用安全的webservice,我需要SSL證書嗎?
感謝
我認爲你需要解釋一點有關你在做什麼。
您是否正在使用iframe或重定向,以便第三方網站可以進行身份驗證?如果是這樣,那麼你可能很好,不需要你自己的證書。
另一方面,如果用戶正在向包含憑據的您的網站發出HTTP請求,那麼您遇到了問題。 從技術上講,說,你不需要爲此使用SSL,但這是一種不良行爲。如果您要接受某些第三方的用戶憑據,您至少應該嘗試與第三方的安全級別相匹配。
因爲用戶通過您的網站登錄,並提供其憑據到Web應用程序,你應該嘗試保護他們,以及你可以。所以你應該在你的網站上啓用SSL並獲得證書。
這就是說,如果你不關心安全性,那麼它也可以在沒有SSL /證書的情況下工作。
用戶將信息輸入到我的服務器,然後調用第三方方法。我猜這意味着需要SSL證書,因爲最初的交易是我的服務器。可能是一個明顯的問題,但有沒有直接調用一個Web服務的另一種方式,沒有數據首先發送到我的服務器?或者是由第三方提供的服務?謝謝 – keyboardP
有辦法讓客戶直接與第三方進行認證,但他們通常要求第三方對此有支持。 (除非第三方存在XSRF漏洞,但你並不真的想依靠這個漏洞......)聽起來你想要的是OAuth(http://oauth.net/),但這並不多除非您使用的第三方服務支持它,否則請使用您的產品。 (像Flickr和谷歌日曆這樣的許多服務都有類似OAuth的方案,我認爲它們早於OAuth。) –
感謝您解釋(和回答!),勞倫斯。 – keyboardP