我在我的MVC应用程序中使用OWIN Identity 2来执行身份验证。这是通过 HTTPS 执行的。
我的问题是,一旦用户成功进行身份验证,是否有任何理由将它们保留在HTTPS上,或者从安全的角度来看,假设没有更多的敏感细节被传输,将它们放回HTTP是可以的吗?
我不确定在使用 Identity 2 时每个请求的客户端和服务器之间传输的确切内容,因此想先在这里检查一下。
如果要在请求中传输任何敏感内容,则应使用HTTPS(传输层安全性(。
来自标识 2 的身份验证 Cookie 被视为敏感信息。
更不用说,当您不使用HTTPS时,您将向被动和主动流量嗅探和中间人攻击开放您的网站。
我建议你看看并熟悉OWASP前10名:https://www.owasp.org/index.php/Top_10_2013-Top_10
这是一个非专业组织,专注于提高软件的安全性。
如果您想了解更多信息,我强烈建议您参加特洛伊·亨特(Troy Hunt(的一些课程 PluralSight.com