HTTP(s) smíšené prostředí klient vs. server rubrika: Návrh
5
Nehalem
Dotaz na logiku a stránku věci.
Všichni dnes chtějí HTTPS (ať už kvůli bezpečnosti, nebo jen z pocitu že je tam https) na
stránkách, kterým svěřují své citlivé informace. To chápu.
Mějme ale příklad, že mám aplikaci, která se skládá z webového SPA klienta a serverového API.
Klient potřebuje mít klienta na xx doménách 2 řádu, ale API je pouze na 1 doméně.
Nyní jak se zachovat k HTTPS ?
Když vezmu, že klient (javascript SPA) bude poskytován NGINXEM pod HTTP (takže zákazník nahoře uvídí HTTP)
ale jakákoliv další komunikace s backendem (XHR) bude probíhat napozadí pomocí HTTPS vůči API, bude tato komunikace
ok (zdůrazním, nejsou použity cookies!).
Proč HTTP ??
Klient nechce platit x tisíc za certifikáty pro jednotlivé domény, zaplatí si jen 1 certifikát pro API backend.
Předpodkládám z technického hlediska je vše ok,
ale jak byste se zachovali vy, když dojdete na HTTP web,
kde se přihlašujete (i když to jde po HTTPS na pozadí) ?
Jak byste se zachovali vy ? Ať už z pohledu zákazníka nebo z pohledu technického návrhu.
6
jj59
Nie je to dostatočné, klientovi nestačí veriť zdrojom dát, ale musí veriť aj tomu, že sa volajú správne zdroje a zobrazené html je doverihodné.
Ak chces používať samostatné domény, je treba k nim mať aj certifikáty. Alebo z nich potom presmerovať na jednu spoločnú a bežať aplikáciu len tam.
Pro zobrazení všech 4 odpovědí se prosím přihlaste:
Nebo se přihlaste jménem a heslem:
Komentáře