1

IIS 7.5、AJPコネクタ1.3、およびSSLを有効にしたTomcat5.5でWindowsServer2008R2を実行しています。テスト専用の自己署名証明書を使用しています。また、Web.xmlにセキュリティ制約を設定して、BeforeAuth.jspという特定のページにSSLを適用します。Tomcatは、SSLを有効にした結果として、同じWebサイトでHTTPトラフィックとHTTPSトラフィックの両方を処理しています。

私がやりたいのは、特定のURLパターンのHTTPSからHTTPにダウンシフトすることですが、どうすればよいかわかりません。

私の理想的な例では、HTTPを使用するログインページがあります。ユーザーがページを送信すると、HTTPSであるBeforeAuth.jspに移動します。次に、BeforeAuth.jspが送信され、クローズドソースのサードパーティJavaオーセンティケーター(HTTPS経由)が呼び出されます。認証が成功すると、オーセンティケーターはブラウザーでhome.jspというホームページ(HTTP)を指定します。

つまり、Login(HTTP)-> Authenticate(HTTPS)-> HomePage(HTTP)です。

どうすればこれを行うことができますか?

ありがとうございました。

4

1 に答える 1

2

求めているのはリダイレクトです。プロトコル(https:)を含め、リダイレクト先のURL全体を作成するだけです。

本当にやりたいのは、常にSSLを使用することです。認証にSSLを使用している場合は、セッションの残りの部分にSSLを使用してみませんか?リクエストライン(URL書き換えを使用している場合)またはCookieからJSESSIONIDをスニッフィングすることは、現在のセッションのユーザーのパスワードを取得するのと同じくらい優れています。ユーザーの資格情報が、ログイン後にアクセスできるデータよりも価値がある場合を除いて、最善の策は常にSSLを使用することです。

于 2012-08-29T23:42:43.667 に答える