是否可以将Tomcat(或WebApp,如果这样做的话)设置为要求SSL,以确保内置的基于表单的登录机制的机密性?
即保护用户凭据,并使用标准的http进行任何其他交易?
您可以将登录表单放在其自己的目录中,而目录仅需要SSL,
<security-constraint> <display-name>Login Pages</display-name> <web-resource-collection> <web-resource-name>Login</web-resource-name> <url-pattern>/login/*</url-pattern> <http-method>POST</http-method> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
确保您的登录表单在此路径中,
<login-config> <auth-method>FORM</auth-method> <form-login-config> <form-login-page>/login/form_login.jsp</form-login-page> <form-error-page>/login/error.jsp</form-error-page> </form-login-config> </login-config>
当然,您需要在Tomcat上安装SSL连接器。