anj*_*anb 3 java https tomcat web-applications http
使用Tomcat 7.0.32,我们有一个登录页面,默认情况下,用户通过http访问.我们立即重定向用户以使用https.
目标:用户输入凭据后,我们希望使用http将用户重定向到主页.
我理解安全风险 - 中间人,会话劫持等.
我不能使用Spring安全 - 在游戏中为时已晚 - 很快就会发布,https性能糟透了.
此外,我们的应用程序有一个"更改密码"用例 - 用户从主页的菜单访问"changepassword.jsp",我想我应该使用https将用户重定向到"changepassword.jsp".确认密码更改后,再使用http将用户重定向回主页.想法?
如何去做 - 是否有可用的示例代码?
更新1:我已经从
1)http://tomcat.10.n6.nabble.com/Session-lost-when-switching-from-https-to-http-after-upgrade-to-Tomcat 读到了这个问题-6-td2105781.html
2)http://tomcat.10.n6.nabble.com/how-to-auto-redirect-to-https-from-http-td2087325.html
代码来自https://forums.oracle.com/forums/thread.jspa?threadID=1394970(Cabir)
我应该期待什么?
你说"我知道Spring Security可以做到",但事实上Spring Security并没有做任何特别的事情.它只是执行重定向到HTTPS,您自己正在做.如果使用安全cookie创建会话,然后切换回HTTP,则会丢失会话.这在Spring Security FAQ中有解释.正如它解释的那样,如果您在重定向到HTTPS之前创建会话,那么会话cookie将不会被标记为安全,并且将通过HTTP和HTTPS传递,从而维护整个会话.
我能想到的唯一其他选项是使用mod_headers或其等价物来修改Set-Cookie标题并删除Secure标志(如果存在).这是一个相反的例子,将标志添加到所有cookie中.
顺便说一下,您是否尝试使用HTTPS调整网站性能?如果您的内容和用户帐户有任何实际价值,您应该在整个应用中使用它.
| 归档时间: |
|
| 查看次数: |
3231 次 |
| 最近记录: |