在同一个网站内，如何实现只有登录时走https？

Question

一个网站，通常包括了很多的服务，比如，我现在做的这个，有webservice,有一些可以浏览类的信息，但是现在只想在登录时走https协议，这种同一个项目，只有一些url用https协议的可以实现吗？

Answer 1

1. 可以，淘宝就是这么做的；
2. sf的登录没用证书，而且我一直觉得这样做是有问题的：如果你的所有业务使用同一套cookie，那么只在登录做https是没有意义的；
3. 如何实现？买个证书，web server里面只给登录的server name配置上https，需要登录的业务层直接跳转就OK了。

Answer 2

如果你的部署结构里面有一些前端负载均衡的软件，一般都可以设置（比如haproxy或者varnish，nginx），没有的话，自己实现个过滤器，只读取header判断一下协议，然后路由。

Answer 3

可以为登陆服务单独配个二级域名,只对这个二级域名配ssl

Answer 4

如果不是登录页面整页使用 HTTPS 的话，仅传输密码的连接使用 HTTPS，还是算了，没有意义。