La configurazione del vincolo di sicurezza per Tomcat è obbligatoria?

Question

Per eseguire un test di configurazione SSL in Tomcat, è obbligatorio?

Questa linea di seguito è tratto da un website:

Per fare questo per la nostra prova, prendere qualsiasi applicazione che è già stato implementato con successo in Tomcat e primo accesso tramite HTTP e HTTPS per vedere se funziona bene Se sì, allora aprire la web.xml di tale domanda e basta aggiungere questo frammento XML prima web-app finisce cioè </web-app>:

<security-constraint> 
    <web-resource-collection> 
     <web-resource-name>securedapp</web-resource-name> 
     <url-pattern>/*</url-pattern> 
    </web-resource-collection> 
    <user-data-constraint> 
     <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint> 

È questa configurazione è obbligatorio fare all'interno di un file web.xml ??

Answer 1

No, non è necessario. Significa che la tua applicazione web è disponibile solo tramite disponibile tramite HTTPS (e non è disponibile tramite HTTP).

Se si omette il tag <transport-guarantee>CONFIDENTIAL</transport-guarantee> (o l'intero <security-constraint>) l'applicazione sarà disponibile tramite HTTP e HTTPS. Se il tuo web.xml contiene <transport-guarantee>CONFIDENTIAL</transport-guarantee> Tomcat reindirizza automaticamente le richieste alla porta SSL se tenti di utilizzare HTTP.

Si noti che la configurazione predefinita di Tomcat non abilita il connettore SSL, è necessario attivarlo manualmente. Controllare il SSL Configuration HOW-TO per i dettagli.

Answer 2

Se si controlla più vicino, il blog spiega che ulteriori:

Qualsiasi risorsa nell'applicazione si può accedere solo con HTTPS sia esso servlet o JSP di. Il termine CONFIDENTIAL è il termine che indica al server di far funzionare l'applicazione su SSL. Se si desidera disattivare la modalità SSL per questa applicazione, basta girare non eliminare il frammento. Basta inserire il valore come NONE anziché CONFIDENTIAL.