【发布时间】:2016-11-03 01:57:20
【问题描述】:
我有一个在与JIRA REST API 集成的服务器上运行的网站。为了验证请求,该站点要求提供用户凭据并将其发送到 JIRA 以返回会话(请参阅this)。
显然,我不希望这些凭据以明文形式四处浮动。虽然这将在不面向外部的内部网络上运行,但它仍然很重要。
我的问题是(请原谅糟糕的解释):即使 JIRA 使用 HTTPS,我是否需要为我的服务器获取 SSL 证书。在这种情况下,JIRA 有一个有效的 SSL 证书并由 HTTPS 保护。
“流程”的粗略概述:
User enters user/pass and submits HTML form (index.html on nodejs) ->
-> Request (HTTP POST) is sent to my server w/ creds (nodejs)
-> My server sends a request to JIRA (HTTPS)
<- JIRA responds with JSON
<- Response is received by my server
<- My server sends data back to index.html
我的想法是在这种情况下我需要 HTTPS,因为:
XX.XX.XX.XX <-/-> YY.YY.YY.YY <---> ZZ.ZZ.ZZ.ZZ
[XX] = client (index.html)
[YY] = server (nodejs)
[ZZ] = JIRA
在该“图表”中,客户端通过 HTTP 将凭据发送到我的服务器,这是不安全的。然后,服务器会将凭据发送到启用了 HTTPS 的 JIRA。
在这种情况下,我假设可以在 X 和 Y 之间嗅探凭据,但不能在 Y 和 Z 之间嗅探(我开始混淆自己......)???
(P.S. 由于CORS 的限制,我需要在中间放置一个服务器。除了 HTTPS 问题之外,一切正常。)
【问题讨论】:
标签: javascript node.js rest ssl https