为了 Servlet 安全,我读到在 web.xml 中我们可以声明
<auth-constraints> and <user-data-constraint>
用于打开 SSL 和进行身份验证。但到目前为止,我个人还没有在现实生活中的 web.xml(在 Tomcat、Glassfish 上运行的应用程序)中看到任何这些声明
所以我想知道实现这些目标的替代方法是什么?哪种方式更受欢迎?
最佳答案
强烈依赖于所使用的应用程序服务器,但一般来说,如果不在 AS(而不是部署描述符)级别启用 SSL,则无法使应用程序服务器公开使用 SSL 的应用程序。
例如,对于 Tomcat,必须在 server.xml
中启用 SSL 连接器(默认端口 8443)。然后,您可以使用 mod_proxy
或 mod_jk
将 Apache (httpd) 用作反向代理。
在代码中,您可以使用 ServletFilter
拦截所有请求,如果通信不在 SSL 之上,您可以将用户重定向到某个登录页面。
关于java - Servlet 声明式安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14006247/