我如何配置 Servlet 以仅对登录页面使用 SSL,然后对应用程序的其余部分使用普通 HTTP。 如果我对需要 SSL 的登录页面进行特殊处理,而对其余页面进行特殊处理,并且我使用表单例份验证并指向我之前配置为使用 SSL 的登录页面,当用户请求 protected 页面时,URL栏中不是 login.page,它是请求的页面,但正文是登录表单,我可以在不使用 HTTPS 的情况下登录。 谢谢..
最佳答案
很抱歉这么说,但你似乎想做错事。为什么在用户登录后需要 https,因为如果没有它, session 很容易被劫持,因为 session cookie 在纯文本中可见。当然,需要在同一个网络中,甚至可能需要伪造 IP 地址,但有这么多 WiFi 网络,这实际上是小菜一碟(因为大多数用户并不真正知道如何保护它们)。
因此,除非您在控制环境中部署您的应用程序(仅限 LAN,或多或少的用户数量有限 - 但在这种情况下您为什么需要 SSL?),否则您可能一直需要 https。
关于java - 仅为登录页面限制 SSL,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5544057/