La configuration des contraintes de sécurité pour Tomcat est-elle obligatoire?
Pour effectuer un test de configuration SSL sous Tomcat, est-ce que tout est obligatoire?
Cette ligne ci-dessous est tirée d'un site Web :
Afin de le faire pour notre test, prenez n'importe quelle application qui a déjà été déployée avec succès dans Tomcat et accédez-y d'abord via http et https pour voir si cela fonctionne correctement. Si oui, ouvrez le web.xml de cette application et ajoutez simplement ce fragment XML avant la fin de l'application Web, c'est-à-dire
</web-app>:<security-constraint> <web-resource-collection> <web-resource-name>securedapp</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
Cette configuration est-elle obligatoire à faire dans un fichier web.xml ??
Non, ce n'est pas nécéssaire. Cela signifie que votre application Web uniquement disponible via HTTPS (et non disponible via HTTP).
Si vous omettez le <transport-guarantee>CONFIDENTIAL</transport-guarantee> tag (ou l'ensemble <security-constraint>) votre application sera disponible via HTTP et HTTPS. Si votre web.xml contient <transport-guarantee>CONFIDENTIAL</transport-guarantee> Tomcat redirige automatiquement les demandes vers le port SSL si vous essayez d'utiliser HTTP.
Veuillez noter que la configuration Tomcat par défaut n'active pas le connecteur SSL, vous devez l'activer manuellement. Consultez le HOWTO Configuration SSL pour les détails.
Si vous regardez de plus près, le blog explique cela davantage:
Toutes les ressources de votre application sont accessibles uniquement avec [~ # ~] https [~ # ~] que ce soit des servlets ou des JSP. Le terme
CONFIDENTIALest le terme qui indique au serveur de faire fonctionner l'application surSSL. Si vous souhaitez désactiver le modeSSLpour cette application, désactivez simplement le fragment. Mettez simplement la valeur commeNONEau lieu deCONFIDENTIAL.