Возврат к нормальной Http после аутентификации WIF STS

Question

У меня есть веб-приложение MVC3, которое выполняет настройку StarterSTS . Мне нужно, чтобы область была известна, а для аутентификации требуется SSL.

Работает, отлично.

Проблема в том, что когда пользователь возвращается на мой сайт, он просматривает его с помощью https. Это не тот опыт, который я хочу. Мой сайт не является банком или чем-то подобным. Я чувствую, что диалог аутентификации должен быть безопасным (я думаю) и токен зашифрован (я уверен). Но если я вручную изменил URL-адрес с https на http в своем веб-приложении отвечающей стороны после проверки подлинности, он говорит, что я не авторизован.

1) почему?

2) Возможно ли вернуться к http? или ... Мне не нужно запрашивать https для аутентификации, но оставить токен в зашифрованном виде?

Answer 1

Хорошо - что не так с SSL? `

Токен должен всегда передаваться с использованием SSL - даже если он зашифрован, его можно воспроизвести и т. Д. Также полученный токен сеанса должен быть защищен. Поэтому я хотел бы использовать SSL (его легко настроить) и не беспокоиться о возможных атаках, которые могут быть вызваны его неиспользованием (сложно реализовать).

Это все сказанное - вы можете отключить требование SSL для элемента конфигурации wsFederation (requireHttps = "false") и вложенного cookieHandler (requireSsl = "false").