認証に HTTPS を使用するのが一般的であるため、クライアントからの認証の詳細を傍受することはできません。ただし、ユーザーがログインすると、その後の Web アプリへの呼び出しで何らかの認証 ID が渡され、Web アプリはそれを使用して認証を行いますが、それも HTTPS ではないでしょうか? これは Facebook などでどのように行われますか? すべてのトラフィックを HTTPS にする方が簡単なようです。
質問する
54 次
2 に答える
3
Jeff Atwood による回答:
http://www.codinghorror.com/blog/2012/02/should-all-web-traffic-be-encrypted.html
于 2012-04-20T09:01:03.593 に答える
2
サーバーがそれを処理できると仮定すると、ユーザーがログインしているかどうかに関係なく、さらに一歩進んですべてに SSL を使用します。
これには、盗聴者がユーザーがサイト/アプリにゲストとしてアクセスしているか、認証されたユーザーとしてアクセスしているかさえわからないという利点があります。また、いつ SSL を使用し、いつ使用しないかを決める必要がなくなります。
于 2012-04-20T09:08:24.757 に答える