Utilizzare HTTPS solo per determinate pagine nella webapp basata su servlet

Question

Ho una webapp basata su servlet in esecuzione sul server Tomcat 6. Lo schema URL è HTTPS. L'intero sito è attualmente servito su HTTPS. Ma quello che mi piacerebbe davvero fare è impostare HTTPS solo per alcune operazioni come l'acquisto e il login. C'è qualche configurazione in Tomcat che può aiutarmi a farlo facilmente?

Sono presenti modifiche al codice richieste per mantenere la sessione su HTTPS e HTTP?

Answer 1

In realtà, idealmente, questo è configurato nel file web.xml dell'app Web. Basta specificare determinati URL che devono essere protetti come <security-constraint><web-resource-collection> e specificare il requisito HTTPS come <transport-guarantee> con il valore di CONFIDENTIAL. Il contenitore gestirà i reindirizzamenti in modo trasparente. Semplice.

<security-constraint> 
    <web-resource-collection> 
    <web-resource-name>My Secure Stuff</web-resource-name> 
    <url-pattern>/some/secure/stuff/*</url-pattern> 
    <url-pattern>/other/secure/stuff/*</url-pattern> 
    ... 
    </web-resource-collection> 
    <user-data-constraint> 
    <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint> 

Answer 2

Hai solo bisogno di configurare un connettore HTTP e tutto il tuo servlet sarà disponibile anche su HTTP.

Per le operazioni che richiedono HTTPS, è necessario far rispettare da soli come questo,

if (!request.isSecure()) { 
    response.sendError(HttpServletResponse.SC_FORBIDDEN); 
    return; 
} 

Nel nostro caso, l'URL di accesso possono essere digitati dall'utente in modo da reindirizzare l'utente alla pagina HTTPS se URL HTTP è entrato.

Se si parla di sessioni Servlet (JSESSIONID), non si dovrebbero avere problemi a condividere sessioni tra HTTP e HTTPS poiché Tomcat non aggiunge flag "sicuro" ai cookie.