許可を伴うすべてのコールにHTTPSを使用する必要があります

Question

HTTPSを認証に使用するのが一般的です。したがって、クライアントからの認証の詳細を盗聴することはできません。しかし、いったんユーザーがログオンした後に、Webアプリケーションへの後続の呼び出しは、WebアプリケーションがHTTPSであるべきではない場合は、次に認証するために使用する一連の認証IDを渡しますか？これはFacebookのようなものでどのように行われますか？すべてのトラフィックHTTPSを簡単に作成できるようです。

Answer 1

ジェフ・アトウッドによって答え：

http://www.codinghorror.com/blog/2012/02/should-all-web-traffic-be-encrypted.html

Answer 2

サーバーがそれを処理することができ、私はさらに一歩を行くだろうし、ユーザーがログインされているかどうかすべて、どんなににSSLを使用と仮定すると、 。

これは、盗聴者があなたのサイト/アプリケーションにゲストとしてアクセスしているのか認証されたユーザーであるのかを知ることさえできないという利点があります。また、SSLを使用する時期と使用しない時期を決める必要がなくなります。