Нужно ли просто получить сертификат SSL и установить его в Tomcat?
Это действительно потребуется, и вам нужно будет настроить защищенный соединитель.
Как обеспечить использование https только для некоторых URL-адресов?
Рекомендация должна шифровать отправку формы (т. Е. Использовать абсолютные https:// URL-адреса в соответствующей форме action), но также сами страницы отправки формы, если вы хотитепредотвращайте атаки «человек посередине».
Поэтому используйте «защищенные» абсолютные ссылки везде, где вам нужно, и применяйте SSL для конкретного контента, используя ограничения безопасности в вашем web.xml:
<security-constraint>
<web-resource-collection>
<web-resource-name>Secure Area</web-resource-name>
<url-pattern>/secure/*</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>