Это - определенный вопрос о новичке, но что я должен получить SSL, работающий в моем веб-приложении Java (стандартный вид веб-приложения Java с помощью Дорожек для его реализации MVC, Spring, и Быть в спящем режиме)?
Я развертываю свой военный файл на Tomcat 5.5. Я только хочу, чтобы SSL использовался для определенных URL - любой, которые передают пароль пользователя - так регистрация аккаунта, пароль изменения и вход в систему.
Я должен просто получить сертификат SSL и установить его в Tomcat? Как я удостоверяюсь, что https используется только для некоторых URL?
Мне просто нужно получить сертификат SSL и установить его в Tomcat?
Это действительно необходимо, и вам нужно будет настроить защищенный соединитель.
Как убедиться, что https используется только для некоторых URL-адресов?
Рекомендация - зашифровать отправку формы (т. Е. Использовать абсолютные https: //
URL-адреса в соответствующей форме действие
), но также формируют сами страницы отправки, если вы хотите предотвратить атаки человека посередине.
Поэтому используйте «защищенные» абсолютные ссылки везде, где вам нужно, и применяйте SSL для определенного контента, используя ограничения безопасности в вашем web.xml
:
<security-constraint>
<web-resource-collection>
<web-resource-name>Secure Area</web-resource-name>
<url-pattern>/secure/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
Вы можете создать фильтр
, который перенаправляет на https: //
для нужных URL.
Да, вам нужен сертификат SSL. Он может быть подписан самостоятельно или выдан официально признанным центром сертификации.
Вот хорошее руководство об общей настройке SSL в Tomcat и о том, как изменить дескриптор развертывания для включения SSL: http://www.jroller.com/gmazza/entry/setting_up_ssl_and_basic
Мне просто нужно получить сертификат SSL и установить его в Tomcat?
В руководстве Tomcat есть довольно простое руководство по настройке.
Как убедиться, что https используется только для некоторых URL?
Эта логика должна быть в вашем приложении. Решение Божо, безусловно, сработает, могут быть другие решения, если вы используете определенные веб-фреймворки или нет.