一尘不染

设置SSL以仅在Tomcat Web应用程序上进行表单登录

tomcat

是否可以将Tomcat(或WebApp,如果这样做的话)设置为要求SSL,以确保内置的基于表单的登录机制的机密性?

即保护用户凭据,并使用标准的http进行任何其他交易?


阅读 219

收藏
2020-06-16

共1个答案

一尘不染

您可以将登录表单放在其自己的目录中,而目录仅需要SSL,

<security-constraint>
  <display-name>Login Pages</display-name>
  <web-resource-collection>
     <web-resource-name>Login</web-resource-name>
     <url-pattern>/login/*</url-pattern>
     <http-method>POST</http-method>
  </web-resource-collection>
  <user-data-constraint>
     <transport-guarantee>CONFIDENTIAL</transport-guarantee>
  </user-data-constraint>
</security-constraint>

确保您的登录表单在此路径中,

<login-config>
  <auth-method>FORM</auth-method>
  <form-login-config>
    <form-login-page>/login/form_login.jsp</form-login-page>
    <form-error-page>/login/error.jsp</form-error-page>
  </form-login-config>
</login-config>

当然,您需要在Tomcat上安装SSL连接器。

2020-06-16