我的网站目前没有设置SSL / https。现在我需要实现一个功能,以便我的移动应用程序可以与我的服务器通信。我只需要https和那条路线。
将我的网站更改为全部https对于该单一路径而言似乎太多了。
在我狂野的想象中,是否会有第三方服务提供https处理程序,我的移动应用程序可以安全地将信息传递给。然后,第三方服务使用我的密钥加密这些信息,并使用标准的http?
将这些信息传递回我的服务器上面我的想象服务会出现什么问题?这样的事情已经存在吗?
答案 0 :(得分:0)
您不需要在整个网站上启用ssl。您可以使用.htaccess
为特定页面启用它试试这个
如果您熟悉mod_rewrite和regex,那么阅读这些规则应该没有问题 - 提供解释特定规则的注释。其余的 - 正则表达式基础:
Options +FollowSymLinks -MultiViews
RewriteEngine On
RewriteBase /
# force https for /login.php and /register.php
RewriteCond %{HTTPS} =off
RewriteRule ^(login|register)\.php$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
# don't do anything for images/css/js (leave protocol as is)
RewriteRule \.(gif|jpe?g|png|css|js)$ - [NC,L]
# force http for all other URLs
RewriteCond %{HTTPS} =on
RewriteCond %{REQUEST_URI} !^/(login|register)\.php$
RewriteRule .* http://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
在任何其他重写规则(如果存在)之前,需要将这些规则放在网站根文件夹中的.htaccess中。如果放在其他地方,可能需要进行一些小的调整。
他们会为/login.php和/register.php强制使用HTTPS,对图像,css样式和JavaScript文件(具体来说,对于带有这些扩展名的文件)不执行任何操作,并强制HTTP用于所有其他URL
您可以轻松地将其他网址添加到该列表中 - 只需通过向列表中添加其他文件名来编辑现有规则(2个位置中的相同文本:1)以强制2)排除)
文件名区分大小写。因此,如果请求/LOGIN.php,这些规则将不起作用(Apache也不会提供服务,因为Linux是区分大小写的操作系统..所以这里不用太担心。)
明显的事情:应该启用mod_rewrite并且.htaccess文件需要由Apache处理(一些网站托管公司出于性能和安全原因而禁用它们)。
答案 1 :(得分:0)
没有TLS转发服务,也永远不会。原因是它会破坏TLS的所有目的。
基本上,TLS保证客户端正在与它认为的服务器通信,并且没有人可以窃听或篡改通信。如果假设的TLS代理以纯文本形式将通信转发给另一台服务器,则所有这些保证都会丢失。