SharePoint：公共网站中的 https 区域

Question

我正在开发一个使用 SharePoint (WSS) 构建的公共网站。我们需要在网站中添加一个区域，人们可以使用信用卡购买商品，显然该区域需要受到保护。

该网站使用基于表单的身份验证，用户在从 https 区域来回移动时需要保持登录状态。

我知道如何为新的 Web 应用程序/网站集启用 SSL，但这对我来说并不是一个真正的选择，因为该网站已经在线，并且我们不希望整个事情都受到保护。

我对所涉及的 Web 部件（支付模块、购物车等）的开发感到满意，但我无法真正弄清楚如何在创建网站集时仅创建某些 https 页面。

您是否可以提供部署受保护页面的功能？如果是这样，怎么办？您是否可以拥有一个启用了 SSL 但用户被重定向到/来自的区域，而不会丢失其身份验证 (FBA)？

谢谢！

Answer 1

有几种方法可以解决此问题：

1. 如果您的防火墙支持，您可以在防火墙级别终止 SSL，并确定哪些页面需要通过 SSL 进行保护（例如使用 ISA 服务器）并保持现有站点不变。

2. 或者，您可以将现有网站设置为通过 HTTPS 和 HTTP 接受请求。在 IIS 级别，这涉及安装 SSL 证书并在端口 443 上添加附加绑定。在 SharePoint 级别，您还需要添加备用访问映射以使 SharePoint 识别 https URL。我已在 http 记录了这些步骤://www.sharepointconfig.com/2010/03/configuring-a-sharepoint-website-to-allow-ssl-connections/。然后，您可以使用 IIS 7 Url Rewrite 模块或通过 HttpModule 强制特定页面使用 SSL。

3. 您可以将 Web 应用程序扩展到新的 IIS 网站（Microsoft 在其文章 http://technet.microsoft.com/en-us/library/cc298636.aspx）。这确实增加了运行和管理两个 IIS 网站、web.config 等的开销，这些网站可能需要也可能不需要。此方法还需要某种方法将请求重定向到适当的协议。

Answer 2

您能否不扩展 Web 应用程序而仅在一个 Web 应用程序上启用 SSL？然后，您可以在需要时链接到该网站的安全版本。只要它们位于同一域，FBA cookie 就应该在两个 Web 应用程序上都有效。

Answer 3

我尝试的另一个选择是将所有内容保留在同一个 Web 应用程序中，但对其进行设置，以便可以通过 SSL 和非 SSL 进行访问。

然后我会编写一个 HttpModule，它检查传入的请求 url 并在安全和非安全状态之间来回重定向。例如，逻辑可能如下所示

如果请求 url 以 http://mydomain.com/secure 开头

- ->重定向到 https://mydomain.com/secure

否则，如果请求 URL 以 https://mydomain.com/general

-->重定向到 http://mydomain.com/general

否则

-->不执行任何操作，让请求执行

这种方法的优点是 http 模块将更加可靠，并且您不必依赖内容页面中的链接来进行切换。