Блог

У меня есть веб-приложение, для которого нам нужно принудительно использовать SSL, но только когда пользователь вошел в систему. К сожалению, страница входа в систему имеет тот же URL, что и веб-приложение, когда пользователь входит в систему.

У меня была следующая перезапись для пропуска SSL, когда URL был просто / или / регистрация, но это не удается, потому что а) когда пользователь входит в систему, он все еще может находиться в / и не иметь принудительного ssl и б) когда пользователь посещает регистрацию с помощью ключа приглашения, например signup?invite = 123abc, шаблон завершается с ошибкой.

 #RewriteCond %{HTTP_HOST} ^mysite.com$ [NC]
#RewriteCond %{SERVER_PORT} !^443
#RewriteCond %{REQUEST_URI} !^(/|signup)$
#RewriteRule (.*) https://mysite.com/$1 [R=301,L]
  

Такое ощущение, что принудительное использование SSL в apache происходит быстрее, чем в моем PHP-приложении, но я не уверен, что это лучший способ решить эту проблему.

Спасибо!

В зависимости от языка, который вы используете на стороне сервера, может быть проще сделать это таким образом, а не использовать правило перезаписи, поскольку ваша серверная программа будет знать, что пользователь вошел в систему. Некоторый псевдокод:

Если пользователь вошел в систему и URL запроса начинается с http, затем перенаправляется на https.