Добавляем протокол HTTPS в приложение¶
В предыдущих главах, обсуждая связь браузера пользователя с нашим приложением, мы говорили о протоколе HTTP. По умолчанию HTTP-запросы не шифруются; каждый, кто находится в той же сети, что и пользователь, может читать запросы и ответы, которые пересылаются туда и обратно.
Чтобы защитить пользователей, нужно шифровать трафик. Для этого используется протокол HTTPS.
Часто при разработке ASP.NET Core приложения можно обойтись без прямой поддержки HTTPS, используя обратный прокси-сервер для процесса, называемого SSL/TSL-терминацией (SSL Offloading).
В зависимости от конкретной инфраструктуры, SSL/TSL-терминирование можно перенести на выделенное устройство в сети, сторонний сервис (например, CLoudflare) или обратный прокси-сервер, работающий на одной машине с приложением, или на отдельной машине.
Однако, в некоторых ситуациях может потребоваться работать с SSL/TSL напрямую:
- если доступ предоставляется напрямую, без обратного прокси;
- если использование HTTP между обратным прокси-сервером и приложением неприемлемо;
- если используется технология, требующая HTTPS. Некоторые протоколы, например HTTP/2 или gRPC требуют соединения по HTTPS.
Использование HTTPS-сертификатов для разработки¶
Настройка Kestrel для использования сертификата HTTPS в промышленном окружении¶
Делаем так, чтобы протокол HTTPS использовался для всего приложения¶
Терминирование SSL/TLS, пересылка заголовков и обнаружение защищённых запросов¶
Дата создания : 24 октября 2022 г.