Tomcatのセキュリティ制約の設定は必須ですか？

Question

Tomcatの下でSSL設定テストを行うには、これはすべて必須ですか？この線より下の

がwebsiteから取られる：

我々のテストのためにこれを行うためには、どうかを確認するために、HTTPとHTTPSを通じてあらゆるすでにTomcatの中で正常にデプロイされたアプリケーションと、最初のアクセスにそれを取りますそれはうまく動作します。 yesの場合は、そのアプリケーションのweb.xmlファイルを開き、ウェブアプリはすなわち</web-app>終了直前に、このXMLフラグメントを追加します。

<security-constraint> 
    <web-resource-collection> 
     <web-resource-name>securedapp</web-resource-name> 
     <url-pattern>/*</url-pattern> 
    </web-resource-collection> 
    <user-data-constraint> 
     <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint> 

は、この構成は、web.xmlファイル内で行うことが必須です??

Answer 1

いいえ、必要ありません。これは、WebアプリケーションのみがHTTPSで利用可能であることを意味します（HTTP経由では利用できません）。

<transport-guarantee>CONFIDENTIAL</transport-guarantee>タグ（または<security-constraint>全体）を省略すると、アプリケーションはHTTPとHTTPSの両方で利用可能になります。 web.xmlに<transport-guarantee>CONFIDENTIAL</transport-guarantee>が含まれている場合、HTTPを使用しようとすると、TomcatはリクエストをSSLポートに自動的にリダイレクトします。

デフォルトのTomcat設定ではSSLコネクタが有効になっていないため、手動で有効にする必要があります。 詳細についてはSSL Configuration HOW-TOを確認してください。

Answer 2

あなたが近づいチェックすると、blogはさらにことを説明しています。それは、サーブレットやJSPのこと

、アプリケーション内のすべてのリソースのみHTTPSにアクセスすることができます。 CONFIDENTIALという用語は、アプリケーションにSSLを作用させるようにサーバーに指示する用語です。このアプリケーションのSSLモードをオフにしたい場合は、フラグメントを削除しないでください。 CONFIDENTIALの代わりにNONEという値を入力するだけです。