WIF STS 身份验证后回退到正常 Http

Question

我有一个 MVC3 Web 应用程序，可以对 StarterSTS 进行自定义验证。我要求领域已知并且身份验证需要 SSL。

它有效，太棒了。

问题是当用户返回我的网站时，他们正在使用 https 浏览。这并不是我真正想要的体验。我的网站不是银行或类似的网站。我觉得身份验证对话应该是安全的（我认为）并且令牌是加密的（我确信）。但是，如果我在验证后在回复方 Web 应用程序上手动将 URL 从 https 更改为 http，则会显示我未获得授权。

1）为什么？

2）是否可以回退到http？或者...我是否应该不需要 https 进行身份验证，但将令牌加密？

Answer 1

嗯 - SSL 有什么问题？`

令牌应该始终使用 SSL 传输 - 即使它被加密，它也可以被重放等。
还需要保护生成的会话令牌。因此，我会选择 SSL（易于设置），而不用担心因不使用它而导致的可能的攻击（难以实现）。

综上所述，您可以关闭 wsFederation (requireHttps="false") 和嵌套 cookieHandler (requireSsl="false") 配置元素上的 SSL 要求。