【发布时间】:2009-10-03 09:38:24
【问题描述】:
我的问题与超文本协议有关。
在用户将输入可信信息的区域或存在注册过程时,能够使用 HTTPS 而不是 HTTP 的要求是什么。
谢谢。
【问题讨论】:
标签: security http authentication https protocols
【发布时间】:2009-10-03 09:38:24
【问题描述】:
您需要一个证书(您可以buy one,通常由浏览器识别,或者创建一个self-signed certificate,这将在浏览器上触发警告)和一个能够运行 HTTPS 的服务器。支持 HTTPS 的服务器允许您定义哪些页面通过 HTTP 提供,哪些通过 HTTPS 提供。
HTTPS 不是身份验证,顺便说一下,它只是加密通信以防止窃听者读取服务器和客户端之间发送的内容。
您可以通过 HTTPS 使用任何身份验证方法,但您需要提供它(无论是 HTTP Auth 还是您的应用程序中的某些东西。)
鉴于您的问题模棱两可,没什么好说的了。
【讨论】:
首先,您需要将您的网络服务器配置为使用 https;这反过来又要求您拥有服务器证书。您可以创建自己的服务器证书,也可以从证书颁发机构之一购买。后者将使浏览器相信您的网站是真实的(而对于您自己创建的网站,从浏览器的角度来看,可能会发生中间人或网络钓鱼攻击)。
如何精确配置你的服务器应该在serverfault上讨论。
【讨论】: