我正在设计我的第一个GAE应用程序,显然需要使用HTTPS的登录功能(不能发送我的用户的UID和密码在明文!)。谷歌应用程序引擎和HTTPS战略
但是我对第一次登录后如何处理请求感到困惑/紧张。我看到它的方式,我有2种策略:
- 使用HTTPS的一切
- 从HTTPS(用于登录)为纯OLE” HTTP
第一个选项是更安全的切换回来,但可能会导致性能开销(?)并可能通过屋顶发送我的服务帐单。第二种选择更快,更容易,但不太安全。
这里的另一个因素是,这将是一个“单页的应用程序”(使用GWT),以及UI的某些部分将能够接受支付,并要求财务数据的安全传输。所以一些AJAX请求可能是是HTTP,但是其他必须是是HTTPS。
那么请问:
- GAE有一个漂亮的表解释呼入/呼出的带宽资源,但从来没有具体规定多少I/O带宽可专用于HTTPS。有人知道这里的限制吗?我打算使用“帐单已启用”并为应用付费(并为更高的资源限制)。
- 是否有可能有一个GWT /单页应用程序的一部分用户界面使用HTTP而其他人使用HTTPS?或者是“全部或全部”?
- 是否有任何real性能被偷听到利用全HTTPS策略?
了解这些将帮助我在HTTP/S混合解决方案或纯HTTPS解决方案之间做出决定。提前致谢!
谢谢@Daniel Kurka(+1) - 尽管如此。我注意到GMail使用HTTPS进行登录,然后恢复为HTTP(这首先让我了解了这个想法!)有什么特别的理由说明为什么GMail可以这样做,但不是“正常”的应用程序?再次感谢! – IAmYourFaja 2012-08-11 14:35:36
以及我的Gmail帐户不这样做,但我认为我已经看到了这种非常容易攻击的行为 – 2012-08-12 08:18:13