那些遇到过的问题

使用play框架强制登录Https路由以进行登录

emt*_*t14 21 security https routing login playframework

我想为我的应用程序的登录页面强制执行https路由.

Play可以这样做吗!没有使用前端http服务器?

Ned*_*igg 21

您可以使用@Before拦截器重定向每个请求,即使用户直接键入http://也是如此.下面是我使用的代码(它在无容器play run运行时运行,或者在Heroku后端运行时).

public class HttpsRequired extends Controller {
    /** Called before every request to ensure that HTTPS is used. */
    @Before
    public static void redirectToHttps() {
        //if it's not secure, but Heroku has already done the SSL processing then it might actually be secure after all
        if (!request.secure && request.headers.get("x-forwarded-proto") != null) {
            request.secure = request.headers.get("x-forwarded-proto").values.contains("https");
        }

        //redirect if it's not secure
        if (!request.secure) {
            String url = redirectHostHttps() + request.url;
            System.out.println("Redirecting to secure: " + url);
            redirect(url);
        }
    }

    /** Renames the host to be https://, handles both Heroku and local testing. */
    @Util
    public static String redirectHostHttps() {
        if (Play.id.equals("dev")) {
            String[] pieces = request.host.split(":");
            String httpsPort = (String) Play.configuration.get("https.port");
            return "https://" + pieces[0] + ":" + httpsPort; 
        } else {
            if (request.host.endsWith("domain.com")) {
                return "https://secure.domain.com";
            } else {
                return "https://" + request.host;
            }
        }
    }    
}
Run Code Online (Sandbox Code Playgroud)

Mar*_*son 6

这是一个适用于Java Play 2.1.1和Heroku的示例.

public class ForceHttps extends Action<Controller> {

    // heroku header
    private static final String SSL_HEADER = "x-forwarded-proto";

    @Override
    public Result call(Context ctx) throws Throwable {
        final Result result;
        if (Play.isProd() && !isHttpsRequest(ctx.request())) {
            result = redirect("https://" + ctx.request().host()
                    + ctx.request().uri());
        }
        else {
            // let request proceed
            result = this.delegate.call(ctx);
        }
        return result;
    }

    private static boolean isHttpsRequest(Request request) {
        // heroku passes header on
        return request.getHeader(SSL_HEADER) != null
                && request.getHeader(SSL_HEADER)
                        .contains("https");
    }

}
Run Code Online (Sandbox Code Playgroud)

然后,对于要检查https的任何控制器,添加@With(ForceHttps.class).或者,如果您想要检查所有控制器,则添加一个类HttpsController extends Controller并让所有类扩展HttpsController.

例如

@With(ForceHttps.class)
public class HttpsController extends Controller {

}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

7323 次

最近记录:

11 年,10 月 前
相关归档
Android SDK Manager无法更新:与https://dl-ssl.google.com的连接被拒绝 39
了解CSRF 32
使用Akka播放2.5 - 找不到参数超时的隐含值:akka.util.Timeout 6
浏览器安全错误:“由于安全违规,无法显示此页面” 5
Liquibase和Spring如何使用单独的用户进行模式更改 5
服务器日志文件HEAD请求 5
数据库设计麻烦.每个用户的表格 4
将应用程序池凭据用于 WebClient 请求 4
Angular,如何在延迟加载的模块中包含多个组件? 2
为什么在动作级别使用[RequireHttps]启用SSL后,它会永远保持启用状态? 1
难疑归档
"yield"关键字有什么作用? 9664
撤消尚未推送的Git合并 3695
是否有唯一的Android设备ID? 2645
为什么++ [[]] [+ []] + [+ []]返回字符串"10"? 1613
如何有效地计算JavaScript中对象的键/属性数? 1452
如何在Linux shell脚本中提示是/否/取消输入? 1352
如何从其他线程更新GUI? 1331
如何在python字符串中打印文字大括号字符并在其上使用.format? 1320
从JS数组中删除重复值 1225
让Chrome接受自签名的localhost证书 1080