Tomcat サーバーでバックエンドを実行し、ブラウザでクライアントを実行しています。アプリケーションは Spring 3 MVC + Spring セキュリティ フレームワーク上に構築されています。通信を保護する方法は? サーバーに HTTPS 経由でのみアクセスするように設定する以外のオプションはありますか? 私はこれを経験していないので、ばかげた質問かもしれませんが、これはアプリケーションに影響を与えますか?また、サーバーが https 経由で GET/POST リクエストを介してクライアントと通信する場合、アプリで何かを設定する必要がありますか?
質問する
1183 次
3 に答える
3
「安全」が何を意味するかによって多少異なります。プライバシーが必要な場合は、トランスポートとして TLS (SSL) を使用する必要があります。
authenticationのみに関心がある場合は、別のオプションがあります: Digest Authentication。
ダイジェスト認証を使用すると、クライアント (通常はブラウザー) とサーバーが、通信全体を保護することなく、安全な方法で認証資格情報を交換できます。ダイジェスト認証を使用する場合、サードパーティは引き続き次のことができます。
- クライアントとサーバーが交換するデータを確認する
- クライアントとサーバーの間に自分自身を挿入し、交換を変更します
第三者ができないことは、認証を偽装したり、転送中にユーザー名/パスワードを盗んだりすることです。
それが十分に安全でない場合は、TLS が必要です。必ずしも証明書を購入する必要はありません。OpenSSL を使用して独自のものを生成できます。ただし、この証明書はブラウザーによって自動的に信頼されるわけではないため、実際には公開サイトには使用できません。
必要に応じて HTTPS またはダイジェスト認証を設定する方法については、サーバーのドキュメントを参照する必要があります。
于 2013-03-28T13:08:37.867 に答える
1
HTTP から HTTPS への切り替えによってアプリケーションが影響を受けることはありません。Tomcat がこれを処理するか、前に Apache を処理します。クライアントはアプリケーションではなくサーバー (Tomcat) に接続するため、HTTPS はアプリケーションのトピックではなくサーバーに関するものであることを理解することが重要です。Tomcat のドキュメントをチェックしてください。物事がどのように機能するかについてはかなり明確です。
そして、他の人が言ったように: あなたが言ったことから、HTTPS (TLS/SSL) を使用するのが最善です。証明書は最初は少し怖がりますが、時間を費やす価値はあります。
于 2013-03-28T13:10:11.163 に答える
0
HTTPS は HTTP の (S) セキュアな形式です。HTTP クライアント サーバー アプリケーションがあるので、私は確かに HTTPS を使用します。Web サイト用の SSL 証明書を作成し、Web サイトへのアクセスを HTTPS のみに制限するだけで、99.99% の安全を確保できます。証明書は、Versign または同等の商用またはオープン ソース エンジンのいずれかです。クライアントの場合、HTTPS をサポートするために何もする必要はありません
于 2013-03-28T12:56:08.250 に答える