java - 为 Web 应用程序选择纯 HTTPS 或 HTTP/HTTPS

Question

我在 Web 应用程序中使用 Http 或 Https 时遇到了一个小问题。我引用了许多有关类似主题的堆栈溢出查询，但它们没有充分回答我的问题，因此我决定发布此问题。

问题我目前正在开发一个基于java的Web应用程序，该应用程序使用J Boss应用程序服务器。前端主要由Struts、JavaScript和JQuery组成。我们目前正在评估用户建议，以在登录页面中启用 HTTPS，然后在 HTTP 中继续其余的用户 session 。

此外，虽然用户 session 采用 http 格式，但某些报告也需要以 HTTPS 格式显示。这意味着用户 session 将在 Http 和 HTTPS 之间切换。

某个以前的网站，例如 Hotmail had this feature但出于提高安全性的考虑，已转而提供纯 HTTPS。

在保留用户 session 的同时，是否可以(并且可行)仅在需要时同时使用 HTTPS 和 Http。与纯 HTTPS 实现相比，此实现是否会提高性能？如果是这样，是否可以遵循任何标准操作来实现此目的？

根据普遍看法，HTTPS 往往会降低 Web 应用程序的性能。但是有一个 i ncreasing number of sites that use full HTTPS也。例如 Google、GMail。

假设，与纯基于 HTTP 的网站相比，尝试纯粹在 HTTPS 中实现此 Web 应用程序是否会出现明显的性能问题？是否有任何方法可以提高纯 HTTPS 网站的性能？

资源

HTTP vs. HTTPS: What's the Difference?

Will web browsers cache content over https

What is the best and current way to move to HTTPS on a large website?

Transport Layer Security (TLS)

Tomcat session management - url rewrite and switching from http to https

google translate not showing up when https is used in url

Tomcat, keep session when moving from HTTPS to HTTP - Pelit Mamani 提到的资源

Is SPDY any different than http multiplexing over keep alive connections

Answer 1

我没有在 JBoss 上尝试过，而是在 Tomcat 上尝试过，但是有几点可能相关。顺便说一句，在我们的例子中，我们让它可以工作，但最终还是切换到了完整的 https。

注意事项:

1) 明显的安全隐患。黑客无法窃取您的密码，但他们可以窃听/更改非安全内容交换。

2) 正如您所指出的 - 需要小心使用 cookie，尤其是它们的“安全”标志。我的经验是使用 Tomcat，但听起来其他容器也可能会发生这种情况:当通过 HTTPS 登录时，Tomcat 合理地假设您需要一个安全 session cookie，因此在非安全页面上无法识别 session 。我们必须进行一些调整，以使 session cookie 不安全。 Tomcat, keep session when moving from HTTPS to HTTP

3) 跨域:如果您的页面是通过 http 加载的，并且它向 https 发送 AJAX 请求(反之亦然)，则浏览器会应用跨域安全限制，这同样需要进行诸如 CORS 支持之类的调整。

4) 我们最终切换到完整的 https。它对高负载有一些性能影响(对于具有其他瓶颈(例如数据库)的服务可以忽略不计，但对于纯内存/逻辑且每秒有数十次点击的服务则很明显)。然而，我们觉得无论如何，是时候进行横向扩展了。我们还投入了一些时间来调整 Tomcat 连接器和负载均衡器，结果发现某些配置在使用 https 时效果稍好。