使用SSL保护Spring Webapp的一部分

时间:2013-07-04 08:03:33

标签: tomcat ssl

我们在Tomcat 7上运行一个基于Spring的Web应用程序。我们使用Spring Security 3.1进行身份验证和授权。

部分Web应用程序需要使用SSL连接进行保护。我们了解如何在tomcat中启用SSL,但如果我们这样做,它将对整个Web应用程序产生影响。人们在各种论坛上都反对这一点。

因此,我们正在研究将SSL连接与少数特定URL隔离的方法。我们无法找到如何做到的好参考。有人可以提供相关信息吗?

我们只使用tomcat,没有计划在其前面放置一个完全成熟的Web服务器。

1 个答案:

答案 0 :(得分:0)

http://www.mulesoft.com/tomcat-ssl找到此信息。试试吧.....

在Tomcat的server.xml文件中启用SSL会导致所有文件作为安全页面和不安全页面运行,这会导致不必要的服务器负载。您可以通过将以下元素添加到应用程序的WEB-INF / web.xml文件来选择哪些应用程序基于每个应用程序提供SSL连接:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>YourAppsName</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

此配置允许您在一个位置为所有应用程序的页面设置SSL选项。例如,要为所有应用程序的页面禁用SSL,请将“机密”更改为“无”。