Конфигурация ограничения безопасности для Tomcat обязательна?
Чтобы выполнить тестирование конфигурации SSL в Tomcat, это все обязательное?
Эта строка ниже взята из веб-сайта:
Чтобы сделать это для нашего теста, возьмите любое приложение, которое уже успешно развернуто в Tomcat, и сначала получите доступ к нему через http и https, чтобы убедиться, что он работает нормально. Если да, то откройте web.xml этого приложения и просто добавьте этот фрагмент XML до окончания веб-приложения i.e </web-app>:
<security-constraint>
<web-resource-collection>
<web-resource-name>securedapp</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
Является ли эта конфигурация обязательной для работы внутри файла web.xml?
Ответы
Ответ 1
Нет, это не обязательно. Это означает, что ваше веб-приложение только доступно через HTTPS (и недоступно через HTTP).
Если вы опустите тег <transport-guarantee>CONFIDENTIAL</transport-guarantee> (или весь <security-constraint>), ваше приложение будет доступно через HTTP и HTTPS. Если ваш web.xml содержит <transport-guarantee>CONFIDENTIAL</transport-guarantee>, Tomcat автоматически перенаправляет запросы на порт SSL, если вы пытаетесь использовать HTTP.
Обратите внимание, что в конфигурации Tomcat по умолчанию не включен соединитель SSL, вы должны включить его вручную.
Подробнее см. Конфигурация SSL HOW-TO.
Ответ 2
Если вы посмотрите ближе, блог объяснит, что далее:
Доступ к любому ресурсу в вашем приложении возможен только с помощью HTTPS, будь то сервлеты или JSP. Термин CONFIDENTIAL - это термин, который сообщает серверу, что приложение работает на SSL. Если вы хотите отключить режим SSL для этого приложения, просто откройте фрагмент. Просто поставьте значение NONE вместо CONFIDENTIAL.
