【发布时间】:2018-02-01 13:32:47
【问题描述】:
是否可以通过 HTTP 而不是 HTTPS 使用 Auth0 服务器?
如果是,怎么做?
如果不是,为什么?
(我知道 http 是可嗅探的)
【问题讨论】:
-
请注意,TLS 是 OAuth2 的要求。 (我不确切知道 Auth0 做了什么,但我想 OAuth 是其中的很大一部分。)
标签: http security web https auth0
【发布时间】:2018-02-01 13:32:47
【问题描述】:
这是不可能的。
Auth0 支持的授权协议中使用的所有通信流都需要安全传输层:OAuth2、OIDC、SAML 和 WS-Federation。这是为了确保凭证、令牌和个人身份信息等项目的安全。
管理仪表板和每个相关服务也需要强制使用HTTPS。同样,通过不安全的协议交换用于保护系统的信息是没有意义的。
【讨论】: