セットアップが表示されません'/ login/**'はmy channelConfig.secure []リストにありますが、他のほとんどはchannelConfig.insecure []にあります。/loginのリクエストはすべてhttps://にリダイレクトされ、他のすべてのリクエストはhttp://にリダイレクトされます。ログインページがSSLを使用して、暗号化されていないページは暗号化されたセッションクッキー(Grailsの、Acegiのは)
私の問題は、ログインプロセスがCookieを「暗号化された接続のみで送信」に設定するため、ログインページが/ homeにリダイレクトされると、ホームページにCookieが表示されずにリンク先ページ。私が再度ログインしようとすると、ログインページはクッキーを見て、私をリダイレクトします。
私はthis page about SecurityConfigで狩りを行い、暗号化されていないHTTP経由で作成されたSSL上のCookieを読み取るオプションがあるかどうかを確認しましたが、何も見つかりませんでした。暗号化されていないコントローラでログインCookieを利用できるように設定できるオプションはありますか?
ログインページを唯一の暗号化ページにすることは、暗号化がない場合とまったく同じように悪いですか? プレーンテキストでパスワードを送信する必要はありませんが、すべてのページを暗号化する必要はありませんか?もしそうでなければ、私は私のアプローチを変えなければならない。 –
ほぼパスワードを明らかにしていないため、他のサイトで同じパスワードを使用してもサイトが完全に脆弱な場合には、ユーザーに何らかの問題が発生する可能性があります。私はいくつかの情報で私の答えを更新しました。 – erickson
包括的な答えをありがとう。暗号化されていない接続を使用する主な理由はパフォーマンスでしたが、HTTPとHTTPSのパフォーマンス(http://stackoverflow.com/questions/149274/http-vs-https-performance)に関する別の質問を読んだ後、私たちは私たちのコンテンツのほぼすべてが動的なので、それから主要な速度です。 –