phpcurl 在 ssl/https 中安全性如何？

Question

我想要两台服务器，服务器 A 和服务器 B。服务器 A 执行所有身份验证（用户名和密码）。如果用户在服务器A上通过了身份验证，那么服务器A将发送用户的会话ID、IP地址、用户代理等POST数据。服务器 B 将通过 SSL 接收所有这些数据，并将信任服务器 A 并向用户授予访问权限。此外，服务器 B 将仅通过服务器 A 的 IP 接受来自服务器 A 的 POST 数据。

我的问题是，由于发布数据是通过curl/ssl发送的，因此在流量中是否会被拦截或窃取？黑客能否以纯文本形式查看会话 ID（这里最重要的组成部分）？

我可以做些什么来提高此方法的安全性吗？

Answer 1

您不想使用 PHP 来实现这一点，因为仅使用网络服务器就可以轻松实现这一点。处理 SSL 的服务器 A（甚至有硬件）可以充当中央身份验证服务并作为反向代理到服务器 B。这是在服务器之间划分职责的常见设置。请研究这些主题。

您可以从各种解决方案中进行选择，包括免费解决方案，例如 nginx 作为反向代理 或 商业像 IBM 的 WebSEAL 等解决方案。

是的，当您使用 SSL 时，它是足够安全（如有疑问，请购买审计）。

顺便说一句，这个问题可能更适合 serverfault.com。