【发布时间】:2012-08-11 11:18:57
【问题描述】:
我正在设计我的第一个 GAE 应用程序,显然需要使用 HTTPS 来实现登录功能(不能以明文形式发送我的用户的 UID 和密码!)。
但我对如何在初始登录后处理请求感到困惑/紧张。在我看来,我有两种策略:
- 一切都使用 HTTPS
- 从 HTTPS(用于登录)切换回普通 ole' HTTP
第一个选项更安全,但可能会引入性能开销 (?) 并可能使我的服务帐单飞涨。第二种选择更快、更容易,但安全性较低。
这里的另一个因素是,这将是一个“单页应用程序”(使用 GWT),用户界面的某些部分将能够接受付款,并且需要安全传输财务数据。所以一些 AJAX 请求可以是 HTTP,但其他的必须是 HTTPS。
所以我问:
- GAE 有一个漂亮的表格来解释传入/传出带宽资源,但从未具体定义可以为 HTTPS 分配多少 I/O 带宽。有人知道这里的限制吗?我计划使用“启用计费”并为该应用支付一点费用(以及更高的资源限制)。
- 是否可以有一个 GWT/单页应用程序,其中 UI 的某些部分使用 HTTP,而其他部分使用 HTTPS?还是“全有或全无”?
- 使用全 HTTPS 策略是否有任何真实性能?
了解这些将帮助我在 HTTP/S 混合解决方案或纯 HTTPS 解决方案之间做出选择。提前致谢!
【问题讨论】:
标签: java google-app-engine http gwt ssl