通过HTTPS登录路由的正确方法?
问题描述:
更多的是思考问题而不是问题。 我已经把我的命名路由在我route.php文件中像通过HTTPS登录路由的正确方法?
Route::get('user/login', array('uses' => '[email protected]','as' => 'user.login'));
Route::post('user/postlogin', array('https','uses' => '[email protected]','as' => 'user.postlogin'));
第一条路线返回一个简单的登录表单视图。第二条路线负责检查用户凭证并重定向到预定路线。
就安全性而言,我还必须通过https用户/登录路由来提供服务吗?作为一个用户,我习惯在访问登录页面时看到从http切换到https,如果它不存在,我会非常谨慎。但是,在我的应用程序结构中,用户凭据通过https /用户登录路由发送。这不正确吗?我错过了什么吗?我也可以为用户/登录添加https,但它真的有所作为吗?预先感谢您
答
您不希望窗体被拦截并在路由上更改为用户,因此您需要保护它。
现在,CPU功耗并不是SSL的一个显着限制因素。只需在整个网站上使用SSL。设置HTTP虚拟主机除了重定向到SSL之外什么都不做。
你会增加你的安全性,有益于你的用户的隐私,并enhance your SEO。
因此,服务表单可能存在漏洞?有人可以修改表单并在提交时捕获用户输入?甚至可能更改路线重定向?我不想通过https为整个应用提供服务,因为它大部分都具有公共访问权限。 – geoandri 2014-10-20 09:04:45
是的。是。是。通过HTTPS服务整个应用程序不会阻止它公开访问 - 加密和用户身份验证/授权是两件不同的事情(只有在使用前者时才应使用后者,反之则不然)。 – Quentin 2014-10-20 09:06:39