我正在使用 Play Framework 2.0 的 Web 服务器上工作,其中登录由我们也在制作的 android 设备软件执行。主要担心的是我们在 play 2.0 中找不到对 HTTPS 的任何支持。感觉这是一个学校项目,我们无法负担云或其他代理来为我们解决 HTTPS。
我们的主要问题是密码和电子邮件在请求正文中清晰可见,在移动设备和服务器上加密和解密在性能上看起来很昂贵,并且 HTTPS 解决了我们想要避免的问题。有什么办法可以使用HTTPS来保护用户的登录数据,或者其他任何建议。
如果不是,我们可能不得不将所有应用程序迁移到另一个框架,因为在没有加密的情况下通过互联网的重要 secret 数据看起来不会很好。
最佳答案
从历史上看,我见过大多数人在某种反向代理之后运行 Java/Scala 应用程序服务器。在 apache 中设置 HTTPS 并不太难,然后只需使用 ModProxy 在内部将请求发送到您的 Play 应用程序。
任何一种反向代理系统都可以做到这一点,nginx 也很流行,并且通常比 apache 更容易配置,但我从未将它与 HTTPS 一起使用。
通常这样做的第一个原因是安全性。您不能在端口 80 上以非特权用户身份启动 Java 程序。如果您以 root 身份在端口 80 上启动 Java 程序,那么您的应用程序中的任何漏洞都具有 root 权限!因此,在另一个端口上启动 Java 应用程序,然后从可以作为非特权用户在端口 80 上运行的 Web 服务器进行反向代理。
(*) 这有点过于简单化了,但我认为对这种奇怪现象的讨论超出了本文的范围。
关于https - 游戏框架 [2.0] HTTPS,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9924848/