Tomcat 7 上で実行されている Spring ベースの Web アプリケーションがあります。認証と承認に Spring Security 3.1 を使用しています。
Web アプリケーションの一部は、SSL 接続で保護する必要があります。Tomcat で SSL を有効にする方法は理解していますが、そのようにすると Web アプリ全体に影響します。人々はさまざまなフォーラムでそれに対して反対を勧めていました。
そのため、SSL 接続をいくつかの特定の URL に分離する方法を検討しています。その方法に関する適切なリファレンスが見つかりませんでした。誰かがそれに関する情報を提供してもらえますか?
私たちは tomcat だけを使用しており、本格的な Web サーバーをその前に配置する計画はありません。
これはhttp://www.mulesoft.com/tomcat-sslで見つかりました。やってみるか……。
Tomcat の server.xml ファイルで SSL を有効にすると、すべてのファイルが安全なページと安全でないページの両方として実行されるため、不要なサーバー負荷が発生する可能性があります。アプリケーションの WEB-INF/web.xml ファイルに次の要素を追加することにより、アプリケーションごとに SSL 接続を提供するアプリケーションを選択できます。
<security-constraint>
<web-resource-collection>
<web-resource-name>YourAppsName</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
この構成により、アプリケーションのすべてのページの SSL オプションを 1 か所で設定できます。たとえば、アプリケーションのすべてのページで SSL を無効にするには、「CONFIDENTIAL」を「NONE」に変更します。