Обязательна ли конфигурация ограничений безопасности для Tomcat?

Question

Для тестирования SSL-конфигурации под Tomcat все это обязательно?

Эта строка взята с сайта :

Чтобы сделать это для нашего теста, возьмите любое приложение, которое уже успешно развернуто в Tomcat, и сначала получите доступ к нему через http и https, чтобы увидеть, работает ли оно нормально. Если да, то откройте web.xml этого приложения и просто добавьте этот фрагмент XML до завершения работы веб-приложения, т.е. </web-app>:

<security-constraint>
    <web-resource-collection>
        <web-resource-name>securedapp</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

Является ли эта конфигурация обязательной для выполнения внутри файла web.xml ??

Answer 1

Нет, это не обязательно.Это означает, что ваше веб-приложение только доступно через HTTPS (и недоступно через HTTP).

Если вы опустите тег <transport-guarantee>CONFIDENTIAL</transport-guarantee> (или целое <security-constraint>), ваше приложение будетдоступны через HTTP и HTTPS.Если ваш web.xml содержит <transport-guarantee>CONFIDENTIAL</transport-guarantee> Tomcat автоматически перенаправляет запросы на порт SSL, если вы пытаетесь использовать HTTP.

Обратите внимание, что конфигурация Tomcat по умолчанию не включает соединитель SSL, вы должны включить еговручную.Проверьте Конфигурация SSL HOW-TO для деталей.

Answer 2

Если вы посмотрите поближе, блог объясняет это далее:

Любой ресурс в вашем приложении может быть доступен только с HTTPS , будь то сервлеты или JSP. Термин CONFIDENTIAL - это термин, который указывает серверу, чтобы приложение работало на SSL. Если вы хотите отключить режим SSL для этого приложения, просто выключите, не удаляйте фрагмент. Просто укажите значение NONE вместо CONFIDENTIAL.