是否需要force_ssl? 还是应该在负载均衡器处终止SSL?
[英]Is it necessary to force_ssl? Or should the SSL terminate at the load balancer?
问题描述
在AWS OpsWorks上。 我正在使用ELB,它具有我的CA的SSL证书。
访问的第一点始终是负载平衡器(ELB)。 ELB将流量定向到实例。 每个实例都有一个Rails应用程序,Unicorn等的副本。
要注意的一件事。 ELB后面的实例无法直接访问。
此时,我需要在Rails中使用force_ssl吗? 我听说在边界(ELB)终止SSL很常见。
据我所读, force_ssl给出以下内容:
- 自动将流量从http重定向到https。
- 将cookie标记为安全的,并增加了一些保护(例如,抵御MITM攻击)。
http://api.rubyonrails.org/classes/ActionController/ForceSSL/ClassMethods.html仅指示将HTTP重定向到https。
force_ssl在Rails中做什么? 第二个答案表明force_ssl不只是重定向。
如果我决定不使用force_ssl ,则可以通过编写Nginx定义来管理重定向。
在这种情况下,由于在ELB中已经在进行SSL协商,因此感觉像通过Rails强制使用SSL已经过时了。 仍然需要force_ssl吗? 还有其他好处吗?
1 个解决方案
解决方案1
0 已采纳 2015-06-03 05:21:43
如果要在ELB级别终止SSL,则不需要它。 (您要获取http流量,而不要重定向)。
请记住,在这种情况下,ELB和您的后端实例之间的流量将通过HTTP(即未加密)进行。 在大多数情况下都可以。
虽然nginx处理重定向,但我应该启用Rails force_ssl吗?
[英]Should I enable Rails force_ssl although nginx handles redirects?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.