iniciar - ¿Es obligatoria la configuración de restricción de seguridad para Tomcat?
ejemplos tomcat (2)
Para hacer una prueba de Configuración SSL bajo Tomcat, ¿es esto obligatorio?
Esta línea de abajo está tomada de un website :
Para hacer esto para nuestra prueba, tome cualquier aplicación que ya haya sido implementada exitosamente en Tomcat y primero acceda a ella a través de http y https para ver si funciona bien. En caso afirmativo, abra el archivo web.xml de esa aplicación y simplemente agregue este fragmento XML antes de que finalice la aplicación web, es decir,
</web-app>:
<security-constraint> <web-resource-collection> <web-resource-name>securedapp</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
¿Esta configuración es obligatoria para hacer dentro de un archivo web.xml?
No, no es necesario. Significa que su aplicación web solo está disponible a través de HTTPS (y no está disponible a través de HTTP).
Si omite la etiqueta <transport-guarantee>CONFIDENTIAL</transport-guarantee> (o toda la <security-constraint> ) su aplicación estará disponible a través de HTTP y HTTPS. Si su web.xml contiene <transport-guarantee>CONFIDENTIAL</transport-guarantee> Tomcat redirige automáticamente las solicitudes al puerto SSL si intenta usar HTTP.
Tenga en cuenta que la configuración predeterminada de Tomcat no habilita el conector SSL, debe habilitarlo manualmente. Verifique la configuración de SSL HOW-TO para más detalles.
Si consultas más de cerca, el website explica más:
Se puede acceder a cualquier recurso en su aplicación solo con HTTPS ya sea Servlets o JSP. El término
CONFIDENTIALes el término que le dice al servidor que haga que la aplicación funcione enSSL. Si desea desactivar el modoSSLpara esta aplicación, simplemente gire, no elimine el fragmento. Simplemente ponga el valor comoNONElugar deCONFIDENTIAL.