Tomcat的安全性约束配置是强制性的吗？

Question

为了在Tomcat下进行SSL配置测试,这一切都是强制性的吗？

以下行来自网站:

为了对我们的测试执行此操作,请使用已在Tomcat中成功部署的任何应用程序,并首先通过http和https访问它以查看它是否正常工作.如果是,则打开该应用程序的web.xml,然后在web-app结束之前添加此XML片段,即</web-app>:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>securedapp</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

这个配置是否必须在web.xml文件中执行？

Answer 1

不,这是没有必要的.这意味着您的Web应用程序仅通过HTTPS提供(并且不能通过HTTP获得).

如果省略<transport-guarantee>CONFIDENTIAL</transport-guarantee>标记(或整个标记<security-constraint>),您的应用程序将通过HTTP和HTTPS提供.如果您尝试使用HTTP,则web.xml包含<transport-guarantee>CONFIDENTIAL</transport-guarantee>Tomcat会自动将请求重定向到SSL端口.

请注意,默认的Tomcat配置不启用SSL连接器,您必须手动启用它.有关详细信息,请查看SSL配置HOW-TO.

Answer 2

如果您仔细检查，博客将进一步说明：

您的应用程序中的任何资源都只能通过HTTPS访问，无论是Servlet还是JSP。该术语CONFIDENTIAL是告诉服务器使应用程序继续工作的术语SSL。如果您要关闭SSL此应用程序的模式，则只需关闭不要删除该片段即可。只需将值NONE替换为即可CONFIDENTIAL。