私は最初のGAEアプリを設計しており、ログイン機能にHTTPSを使用する必要があることは明らかです(ユーザーのUIDとパスワードをクリアテキストで送信することはできません!)。
しかし、私は最初のログイン後にリクエストを処理する方法について混乱/神経質になっています。私の見方では、2つの戦略があります。
- すべてにHTTPSを使用する
- HTTPS(ログイン用)からプレーンなole'HTTPに切り替えます
最初のオプションはより安全ですが、パフォーマンスのオーバーヘッド(?)が発生し、サービス料金が屋根から送られる可能性があります。2番目のオプションは、より速く簡単ですが、安全性は低くなります。
ここでの他の要因は、これが(GWTを使用する)「シングルページアプリ」であり、UIの特定のセクションが支払いを受け入れることができ、財務データの安全な送信を必要とすることです。したがって、一部のAJAXリクエストはHTTPである可能性がありますが、他のリクエストはHTTPSである必要があります。
だから私は尋ねます:
- GAEには、着信/発信帯域幅リソースを説明する優れたテーブルがありますが、HTTPS専用のI/O帯域幅を具体的に定義することはできません。ここでの制限を知っている人はいますか?「BillingEnabled」を使用して、アプリ(およびより高いリソース制限)に少し支払うことを計画しています。
- UIの一部がHTTPを使用し、他の部分がHTTPSを使用するGWT /シングルページアプリを使用することは可能ですか?それとも「オールオアナッシング」ですか?
- オールHTTPS戦略を利用することで耳にした実際のパフォーマンスはありますか?
これらを理解すると、HTTP/Sハイブリッドソリューションと純粋なHTTPSソリューションのどちらを選択するかを決めるのに役立ちます。前もって感謝します!