Мне интересно услышать, что делают другие, когда в определенном приложении некоторые страницы должны быть защищены, а другие нет. Возьмите любое решение со стола, для которого требуется отдельный домен / поддомен. В этом случае все звонки, безопасные или небезопасные, будут связаны с одним и тем же доменом. Я вижу несколько вариантов:
- Хет-кулак, просто зафиксируй все подходы.
- Решение для перезаписи URI, которое обеспечивает доступ к нужным страницам по протоколу https и либо игнорирует другие страницы, либо, наоборот, принудительно переводит их на стандартный http
- Подход, ориентированный на приложения, где каждая ссылка отвечает за знание того, указывает ли она и применяет ли правильный протокол. В этом решении все ссылки должны быть полностью квалифицированы.
- Правдоподобная версия подхода, ориентированного на приложения, в котором ссылки на защищенные страницы полностью определены, а ссылки на другие страницы - нет. В этом случае протокол будет унаследован для страниц, которые не обрабатываются явно, и несущественные страницы могут быть доступны через https.
Время от времени я использовал несколько из них, но все они имеют недостатки. Что все остальные делают в этих ситуациях? Есть ли другой путь, который я не рассмотрел?
UPDATE:
Ответ vartec, приведенный ниже, заставил меня осознать, что я упустил одну важную информацию. В моем сетевом конфиге вся SSL-обработка выполняется на уровне балансировки нагрузки. Таким образом, LB связывается с кластером веб-серверов через порт 80. В результате сами приложения не имеют представления о том, поступил ли трафик безопасно. Все, что они видят, это соединение с портом 80.
Спасибо.