我已经为我的 ASP.NET 应用程序实现了简单的 OpenID 支持DotNetOpenAuth http://www.dotnetopenauth.net/。然而我最近意识到实施正在治疗http://johndoe.example.com/
作为一个独特的用户相比https://johndoe.example.com
.
这导致不少用户感到困惑。我不确定此时该怎么办。这是一个错误还是一个功能?
事实上,我可以将此行为视为一种功能:如果用户指定 HTTPS,则用户可能首先不希望系统接受 HTTP 身份验证。
另一方面:如果用户完全出于无知而指定 HTTPS(临时 Web 访问者对“S”部分的用途一无所知),那么拒绝其身份验证尝试就会令人困惑。
什么被认为是最佳实践?
是的 - 它们完全不同,应该如此对待。
OP 的建议是始终使用 https,但情况并非总是如此(现在)。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)