关于 HTTP 安全性

Messaging Server 支持用户 ID/密码验证、客户机证书验证和 Access Manager。但是，在协议如何处理客户机和服务器之间的网络连接方面有些区别。

POP、IMAP 或 SMTP 客户机登录到 Messaging Server 后，即建立了一个连接和一个会话。连接将持续会话的全过程（即从登录到注销）。建立新连接后，客户机必须到服务器上重新验证。

HTTP 客户端登录到 Messaging Server 后，该服务器将为客户端提供唯一的会话 ID。在会话过程中，客户机使用此会话 ID 可以建立多个连接。HTTP 客户机无需对每个连接都重新验证；如果会话被终止并且客户机想要建立新会话，客户机就需要重新验证。（如果 HTTP 会话持续闲置状态达到一定时间，服务器将自动终止 HTTP 会话，并注销客户机；默认的时间段为 2 小时。）

使用以下技术可以改进 HTTP 会话的安全性：

• 会话 ID 与特定的 IP 地址绑定在一起。

• 每个会话 ID 都有与其相关联的超时值；如果在指定时间段内未使用会话 ID，则会话 ID 将无效。

• 服务器保留了一个所有打开的会话 ID 的数据库，因此客户机无法冒充某个 ID。

• 会话 ID 被存储在 URL 中而并非任何 Cookie 文件中。

有关指定配置参数以改进连接性能的信息，请参见第 5 章，配置 POP、IMAP 和 HTTP 服务

有关 Access Manager 的信息，请参见第 6 章，启用单点登录 (SSO)