使用 DotNetOpenAuth，我可以默认要求 SSL，而不要求特定提供商使用它吗？

Question

我的用例非常简单：我希望默认使用 SSL，这样如果有人输入自定义 OpenID，它就会强制执行 SSL，但我有一组我信任的提供商，不幸的是其中一个不使用 SSL对于索赔 ID（但对于登录），这引起了 DNOA 的警钟。

除了使用 requireSsl="false" 之外，还有什么办法可以解决这个问题吗？

也许更重要的是，这真的那么重要吗？

Answer 1

要求 SSL 可以保护您免受 DNS 中毒攻击。如果您将其关闭，即使仅针对某些 URL，您也可能会降低安全性，就好像您一直将其关闭一样。 DNS 中毒攻击会允许用户欺骗（攻击者以其他人的身份登录），即使对于您的“可信”提供商也是如此。

如果您想继续执行您的计划，您可以通过其 SecuritySettings 属性调整单个 OpenIdRelyingParty 实例来自定义 RequireSsl 设置。