mam część strony pod http, a cześć pod https. abym mógł stworzyć ciasteczko z opcją secure muszę być w szyfrowanym połączeniu. Niestety gdy przejdę na połączenie bez ssl ciasteczko się nie robi, a co za tym idzie tracę dostęp do zmiennych sesji. Cała strona bazuje na sesjach więc potrzebuję po stworzeniu mieć do nich zawsze dostęp.

Obecnie ssl jest na logowaniu,rejestracji,panelu użytkownika oraz ważnych miejscach strony. Chciałbym zrobić, aby po logowaniu u stworzeniu cookie użytkownik będzie poruszał się po całej stronie tylko protokołem https, aby mieć zawsze sesje pod ręką. Po wylogowaniu ponownie wszystko wraca do pierwotnej postaci.

Czy możliwe jest takie rozwiązanie ? można tak zrobić ? są jakieś przeciwskazania ? obciążenia serwera ? dłuższe zapytania ? cokolwiek na nie ?

ktoś coś może wiedzieć ?

Jakiś unikalny token powiązany z np. adresem IP, który przywróci odpowiednie ID sesji?

Np. strona z logowaniem -> wstawienie do tabeli z sesjami tokena -> przekierowanie na stronę bez SSL z tokenem w żądaniu -> sprawdzenie, że w URL jest token -> poszukanie w tabeli odpowiedniego ID na podstawie tokena + porównanie z jakimś unikalnym polem od użytkownika.

wolę unikać rozwiązań z bazą danych, aby nie robić dodatkowych zapytań. rozpoznawanie po ip też nie wchodzi w grę, dwie osoby mogą mieć to samo ip. niby rzadko może mieć miejsce coś takiego, ale zawsze jest możliwe.

Najbardziej pasuje rozwiązanie z przerzuceniem później ruchu na https. jedyne czego nie wiem to czy nie będzie to jakiś problem dla serwera... jakieś opóźnienie ? spowolnienie ? gorsze działanie ? ogólnie chodzi mi o jakieś przeciwwskazania, aby nie stosować takiego rozwiązania, bo sam o takowych nie słyszałem

jak sądzicie?

Jak najbardziej możesz zmusić użytkownika do korzystania z SSL po zalogowaniu - to nawet idzie na jego korzyść, zabezpieczasz dodatkowo ID sesji. Pod warunkiem, że masz wykupiony certyfikat, bo home-made, przed którymi przeglądarki trąbią może odstraszyć i irytować

mam wykupione certyfikaty czyli wychodzi na to, że bez problemu można puścić wszystko po zalogowaniu na https i nie ma żadnych przeciwwskazań dzięki za informacje