如何在没有Java webapp授权的情况下确保仅限SSL的访问?

时间:2009-12-08 21:09:40

标签: tomcat ssl

我有兴趣确保只能通过https访问网络应用中的几个页面,但我不想对用户进行身份验证。

我可以使用安全约束以声明方式执行此操作。或者我需要以编程方式做某事吗?

感谢任何帮助,感谢大家

(Tomcat 5.5,servlet规范2.3 - 这是遗产......)

2 个答案:

答案 0 :(得分:4)

使用security-constraint并将transport-guarantee设置为CONFIDENTIAL 

<security-constraint>
    <web-resource-collection>
        <web-resource-name>SSL Redirect</web-resource-name>
        <url-pattern>*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL
        </transport-guarantee>
    </user-data-constraint>
</security-constraint>

Servlet 2.3 Spec

答案 1 :(得分:1)

您是否有机会在其前面放置Apache代理?仅SSL连接将通过该连接,您将阻止从外部网络直接访问您的Tomcat实例。

相关问题
最新问题