0

Tomcat 7 で実行するために、Spring MVC を使用して Web アプリケーションを作成しています。ログイン ページに /account/login への POST リクエストがあり、これを https 経由で送信したいと考えています。

私の web.xml には次のものがあります。

<security-constraint>
    <web-resource-collection>
        <web-resource-name>Login</web-resource-name>
        <url-pattern>/account/login</url-pattern>
    </web-resource-collection>

    <web-resource-collection>
        <web-resource-name>Login-Error</web-resource-name>
        <url-pattern>/account/login-error</url-pattern>
    </web-resource-collection>

    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

そして、Tomcat server.xml には https コネクタがあります。

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    SSLEnabled="true" maxThreads="150" scheme="https"
    secure="true" clientAuth="false" sslProtocol="TLS"
    keystoreFile="/path/to/my.cert" keystorePass="password" />

ログインページにアクセスすると、プロトコルは常に https であり、ログイン手順自体は正常に機能します。

ただし、Firefox プラグインの「改ざんデータ」を使用して POST 要求を検査すると、ユーザー名とパスワードがプレーン テキストになります。私はそれらが暗号化されることを期待していました - 何か見逃していませんか?

4

1 に答える 1

1

これについてはよくわかりませんが、SSL はネットワーク層で機能するため、アプリケーション層から ssl 層に流れるデータは暗号化されず、その後のパケットは暗号化されます。これが、データをプレーンテキストで表示できる理由である可能性があります。

于 2013-08-12T06:25:03.263 に答える