【发布时间】:2016-01-15 18:43:22
【问题描述】:
在How to make a website secured with https 发布的问题之后,我的问题来自 SSL 信息溢出。
A 已经看到很多用 ASP.NET Web API 或 MVC 编写的网站示例,它们以编程方式将 HTTPS 授权嵌入到网站中。我也知道如何在 IIS 上启用 HTTPS。
我正在开发一个网站并将 HTTPS 放入我的控制器中。在我在pluralsight.com 上观看的视频之后,我在WebAPI 上为我的网站添加了HTTPS。一位同事问我为什么要花时间这样做,因为我只是在 IIS 服务器上启用它。
我不知道我为什么这样做,但我看到了两者的例子。对于初级开发人员的挫败感,我可以在服务器上启用 HTTPS 并避免未加密的连接吗?
我假设有人可以劫持服务器并颁发证书,我可以防止通过以编程方式启用 HTTPS 在我的网站上使用我的网站,除了服务器之外,它还位于客户端上。
【问题讨论】:
-
HTTPS 与身份验证或授权无关。
-
您是否将
AuthorizationFilterAttribute与RequireHttpsAttribute混为一谈? -
@ZippyV 您可以在建立 SSL 通道时使用客户端证书进行身份验证。所以“无”可能有点太强了。
-
你似乎在这里问了四个问题。尝试更具体。
-
目前还不清楚你的意思。您如何滚动自己的 HTTPS?您如何将其编程到网站中?