Обязательна ли конфигурация ограничений безопасности для Tomcat?

Для тестирования SSL-конфигурации под Tomcat это все обязательно?

Эта строка ниже взята с сайта:

Чтобы сделать это для нашего теста, возьмите любое приложение, которое уже успешно развернуто в Tomcat, и сначала получите доступ к нему через http и https, чтобы увидеть, работает ли оно нормально. Если да, то откройте web.xml этого приложения и просто добавьте этот фрагмент XML до окончания работы веб-приложения, т.е. </web-app>:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>securedapp</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

Обязательно ли эту конфигурацию делать внутри файла web.xml??

Источник

2 ответа

Решение

Нет, это не обязательно. Это означает, что ваше веб-приложение доступно только через HTTPS (и не доступно через HTTP).

Если вы опустите <transport-guarantee>CONFIDENTIAL</transport-guarantee> тег (или весь <security-constraint>) ваше приложение будет доступно через HTTP и HTTPS. Если твой web.xml содержит <transport-guarantee>CONFIDENTIAL</transport-guarantee> Tomcat автоматически перенаправляет запросы на порт SSL, если вы пытаетесь использовать HTTP.

Обратите внимание, что конфигурация Tomcat по умолчанию не включает SSL-коннектор, вы должны включить его вручную. Обратитесь к инструкции по настройке SSL для получения подробной информации.

Источник

Если вы посмотрите ближе, блог объясняет это дальше:

Любой ресурс в вашем приложении может быть доступен только по протоколу HTTPS, будь то сервлеты или JSP. Семестр CONFIDENTIAL это термин, который говорит серверу, чтобы приложение работало на SSL, Если вы хотите включить SSL режим для этого приложения выключен, затем просто не удаляйте фрагмент. Просто укажите значение как NONE вместо CONFIDENTIAL ,

Источник
Другие вопросы по тегам