我们在Tomcat 7上运行一个基于Spring的Web应用程序。我们使用Spring Security 3.1进行身份验证和授权。
部分Web应用程序需要使用SSL连接进行保护。我们了解如何在tomcat中启用SSL,但如果我们这样做,它将对整个Web应用程序产生影响。人们在各种论坛上都反对这一点。
因此,我们正在研究将SSL连接与少数特定URL隔离的方法。我们无法找到如何做到的好参考。有人可以提供相关信息吗?
我们只使用tomcat,没有计划在其前面放置一个完全成熟的Web服务器。
答案 0 :(得分:0)
在http://www.mulesoft.com/tomcat-ssl找到此信息。试试吧.....
在Tomcat的server.xml文件中启用SSL会导致所有文件作为安全页面和不安全页面运行,这会导致不必要的服务器负载。您可以通过将以下元素添加到应用程序的WEB-INF / web.xml文件来选择哪些应用程序基于每个应用程序提供SSL连接:
<security-constraint>
<web-resource-collection>
<web-resource-name>YourAppsName</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
此配置允许您在一个位置为所有应用程序的页面设置SSL选项。例如,要为所有应用程序的页面禁用SSL,请将“机密”更改为“无”。