Setup: Grails 1.1, Acegi/Spring Security-Plug-inLogin-Seite verwendet SSL, unverschlüsselte Seiten sehen nicht verschlüsselt Session-Cookie (Grails, Acegi)
Ich möchte Benutzer über SSL anmelden, so habe ich '/ login/**' in meiner channelConfig.secure [] Liste, aber fast alles andere ist in channelConfig.insecure []. Jede Anfrage für/login wird zu https: // umgeleitet und jede andere Anfrage wird zu http: // umgeleitet.
Mein Problem ist, dass der Anmeldevorgang den Cookie auf "Nur über verschlüsselte Verbindungen senden" setzt. Wenn die Anmeldeseite nach/home umleitet, sieht die Startseite den Cookie nicht und leitet mich zurück zur Zielseite . Wenn ich mich erneut anmelde, sieht die Login-Seite den Cookie und leitet mich um.
Ich jagte durch this page about SecurityConfig, um zu sehen, ob es eine Option gibt, um über SSL erstellte Cookies zu erlauben, über unverschlüsseltes HTTP gelesen zu werden, aber ich fand nichts. Gibt es eine Möglichkeit, meinen Login-Cookie für meine unverschlüsselten Controller verfügbar zu machen?
Die Anmeldeseite als einzige verschlüsselte Seite zu haben ist also genauso schlimm wie überhaupt keine Verschlüsselung? Gibt es eine Möglichkeit zu vermeiden, dass Passwörter im Klartext gesendet werden, aber nicht jede Seite verschlüsseln müssen? Wenn nicht, muss ich meinen Ansatz ändern. –
Fast. Sie geben das Passwort nicht preis, was dem Benutzer einige Probleme ersparen könnte, wenn sie dasselbe Passwort auf anderen Seiten verwenden, aber Ihre Site ist vollständig anfällig. Ich habe meine Antwort mit weiteren Informationen aktualisiert. – erickson
Vielen Dank für die umfassende Antwort. Unser Hauptgrund für die Verwendung von unverschlüsselten Verbindungen war die Leistung, aber nach dem Lesen einer anderen Frage über HTTP vs HTTPS-Leistung (http://StackOverflow.com/questions/149274/http-vs-https-performance), denke ich, dass wir nicht ein große Geschwindigkeit es daraus, da fast alle unsere Inhalte dynamisch sind. –