登录页面使用SSL，未加密的页面并不看加密的会话cookie（Grails的一样，Acegi）

Question

设定：Grails的1.1，Acegi的/弹簧安全插件

我希望用户通过SSL登录，所以我有“/登录/ **”在我channelConfig.secure []列表中，但几乎一切是在channelConfig.insecure []。 /登录每个请求被重定向到https：//和所有其他请求被重定向到http：//

我的问题是，在登录过程中设置cookie“发送了加密的连接只，”因此，当登录页面重定向到/ home，主页不看的cookie和重定向我回到登陆页面。当我尝试再次登录，在登录页面看到的cookie和重定向我...等。

我通过当前页约SecurityConfig 以查看是否有一个选项，允许通过SSL创建的cookie超过未加密的HTTP来读取，但我什么也没找到。有一些选择，我可以设置让我的登录cookie提供给我的未加密控制器？

Answer 1

这将是一个弱点。

任何人在这方面的中间人，可以看到会话cookie将能够使请求的用户。这是几乎一样糟糕，被截获的密码。该名男子在该中就不能对自己建立新的会话，但他可以做任何事情，用户可以在用户登录在做一次。

---

使用SSL确实不是简单地在登录时隐藏用户名和密码多得多。

首先，它提供了机密性为客户端和服务器之间的所有消息。这很容易识别密码的敏感数据，但它可能不是该应用程序的功能使用敏感数据以及明显。保护任何用户输入和动态生成的内容是不是试图去仔细评估应用程序中使用的每个数据字段的隐私问题更安全，更容易。静态内容，如图像，帮助页面等，可能不是那么敏感，但是通过分析为内容的请求，攻击者可能会得到一个什么样的用户在网站上做一个好主意。

其次，SSL提供完整性为每一个请求。这可以防止攻击者修改或附加自己的恶意输入用户请求，或修改由服务器产生的结果。