用于敏感用户数据的SSL Servlet,用于其他所有内容的NonSSL Servlet

时间:2011-06-26 18:43:04

标签: java gwt servlets ssl java-ee

我有不同的RemoteServiceServlets。处理与User-Data有关的所有事情的人。用户数据应通过安全的SSL连接进行交换。

其次,有一个普通的Servlet可以处理其他所有不必保密的Servlet。

有没有办法申报,例如在web.xml文件中使用SSL作为特殊的servlet,否则没有SSL?

我正在使用Apache + Tomcat。也许,Apache和Rewrite-Engine有可能帮助我解决这个问题吗?

非常感谢帮助!

一切顺利, 托马斯

3 个答案:

答案 0 :(得分:4)

查看此链接:

http://techtracer.com/2007/09/12/setting-up-ssl-on-tomcat-in-3-easy-steps/

您可以通过在web.xml文件中定义这些路径来定义您希望ssl访问的路径(如您所猜测的那样)

<security-constraint>
  <web-resource-collection>
    <web-resource-name>securedapp</web-resource-name>
      <url-pattern>/*</url-pattern>
    </web-resource-collection>
      <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
      </user-data-constraint>
</security-constraint>

您只需调整网址格式。

迎接

答案 1 :(得分:0)

如果您尝试在应用中使用SSL和“明确”请求(无论脚本是从安全或不安全的来源加载),您都会点击Same Origin Policy;因此<add-linker>彼得建议在这里没有任何帮助。)

最近的浏览器(例外Internet Explorer,当然,或者至少不是没有一些技巧,但在GWT中,不幸的是more like hacks),CORS,允许你这样做,但是因为你将混合安全和不安全的电话会在网址旁边显示一个令人讨厌的“不安全”徽章。

如果某些请求需要SSL,则应使用SSL 无处不在。现在没有理由在同一个应用程序中混合安全和不安全的请求。

答案 2 :(得分:0)

看看JSONP以绕过SOP。您可以创建对使用SSL保护的用户相关数据的请求。

相关问题
最新问题