У нас такое же требование - мы абсолютно должны иметь зашифрованный логин, потому что пароль отправляется, но мы не хотим остальная часть связи зашифрована, потому что это вычислительно интенсивный.
Руководство по настройке SSL Tomcat 7 четко говорит:
"Любые страницы, для которых абсолютно необходимо защищенное соединение, должны проверить тип протокола, связанный с запросом страницы, и предпринять соответствующие действия, если https не указан."
Это означает, что ответственность за перенаправление незашифрованных запросов входа в систему на защищенный URL-адрес полностью лежит на самой странице входа в систему. В Tomcat нет административного метода для настройки этого вне сервлета. Вот незадача.
В результате этого мы должны запросить эту функцию у поставщика приложений, поскольку это коммерческий программный пакет.
В качестве грубого обходного пути, которое идет на компромисс по второму требованию, является отключение обычного коннектора HTTP на порту 8080 после включения коннектора HTTPS на порту 8443 (например).