Tomcat中的HTTPS安全性
我目前正在探索Tomcat中的安全性,我只有一个项目是我无法获得的,或者我可能缺少基本的HTTP概念。
在Tomcat的示例项目中,我已经像这样配置了SSL安全性 然后创建了我自己的证书。
<security-constraint>
<display-name>Example Security Constraint</display-name>
<web-resource-collection>
<web-resource-name>Protected Area</web-resource-name>
<url-pattern>/jsp/security/protected/*</url-pattern>
......
</web-resource-collection>
<auth-constraint>
<role-name>tomcat</role-name>
......
</auth-constraint>
<!-- must use SSL for secure transport -->
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
一切正常,每当我访问安全资源时,我都被重定向到https。
现在我在本地测试这个,我正在使用谷歌Chrome开发工具和 当我在探索网络交换时,我仍然看到我的用户名和密码仍以纯文本形式传递。我首先想到的是,它们会被加密为
这里没有问题吗?我可以在我的网络标签中看到我的详细信息是以纯文本形式传递的,但其他人无法看到这一点,对吧?
2 个答案:
答案 0 :(得分:0)
当您使用Chrome的内置工具检查流量时,它很可能会在SSL加密发生之前显示内容 - 否则您将无法在该帖子中读取任何内容。
如果您想查看真正的“在线”,您可以使用以下方式捕获流量: wireshark
答案 1 :(得分:0)
使用HTTPS,数据在通信通道中加密。终点不受保护。这意味着输出可能在您发送之前,或者在您收到输出时在另一侧。
相关问题
- 需要通过https和spring security进行身份验证吗?
- HTTPS登录不将JSESSIONID保存在cookie中
- 使用Apache httpclient进行https
- 有没有办法在spring-security中为某些页面强制使用https?
- 如何在应用程序中为所需页面实现HTTPS?
- 为什么端口80在https中添加了Spring Security?
- Https页面访问非https资源
- Tomcat为不同的主机https重定向(安全性约束)
- 如何让我的jsp webapp swtich从安全(HTTPS)转换为非安全(HTTP)协议?
- Spring Security验证失败重定向URL丢失了'https'
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?