Hug*_*ves 6 https playframework-2.0
我正在使用play framework 2.0在web服务器上工作,其中登录由我们正在制作的Android设备软件执行.主要关注的是我们在play 2.0中找不到任何对HTTPS的支持.感觉这是一个学校项目,我们不能用云或其他代理来解决我们的HTTPS.
我们的主要问题是密码和电子邮件在请求的正文中显而易见,在移动设备和服务器上加密和解密看起来性能和成本都很昂贵HTTPS处理这个我们想要避免它.我们有什么方法可以使用HTTPS来保护用户登录数据或任何其他建议.
如果不是,我们可能必须将所有应用程序迁移到另一个框架,因为它不会看起来很好的重要机密数据通过互联网而不加密.
从历史上看,我见过大多数人在某种反向代理后面运行 Java/Scala 应用程序服务器。在 apache 中设置 HTTPS 并不太难,然后只需使用 ModProxy 在内部向您的 Play 应用程序发送请求即可。
任何一种反向代理系统都可以做到这一点,nginx 也很流行,并且通常比 apache 更容易配置,但我从未将其与 HTTPS 一起使用。
通常这样做的首要原因是安全。您无法以非特权用户身份在端口 80 上启动 Java 程序。如果您以在端口 80 上运行的 root 身份启动 Java 程序,那么应用程序中的任何漏洞都具有 root 权限!因此,在另一个端口上启动 Java 应用程序,然后从可以在端口 80 上以非特权用户身份运行的 Web 服务器进行反向代理。
(*) 这有点过于简单化了,但我认为对这种奇怪现象的讨论超出了本文的范围。
| 归档时间: |
|
| 查看次数: |
1955 次 |
| 最近记录: |