Apache & Tomcat & mod_jk Redirection SSL sur certaines pages uniquement

Nous avons un seul server Windows exécutant Apache et Tomcat avec mod_jk activé. L'application Tomcat fonctionne parfaitement, tout comme l'application PHP séparée (sous Apache). Nous avons installé un cert SSL commercial sous Apache et créé une directive dans le file httpd-ssl.conf. Tout cela fonctionne bien.

Si nous naviguons directement sur https://www.domain.com/app/foo/bar, cela fonctionne bien, alors nous soaps que le certificate fonctionne. Notre problème est que nous voulons que certaines pages (pages JSP spécifiquement) se chargent sous https. Nous avons essayé de mettre les files .htaccess dans les dossiers appropriés (où nous pensons que les servlets vivent) et cela ne fait rien, sans doute parce que Tomcat ne sert pas les pages, Apache est (est-ce la bonne façon de penser?). Nous sums donc confus quant à savoir où nous sums censés configurer les règles (?) Pour forcer https pour certaines pages JSP et pas pour d'autres. Supposons que Apache devrait gérer ce problème, mais comme le file .htaccess ne fonctionne pas, quelle autre option existe-t-il?

One Solution collect form web for “Apache & Tomcat & mod_jk Redirection SSL sur certaines pages uniquement”

Je me request si apache / mod_jk sont configurés de sorte que les requêtes correspondant à *.jsp ou /webappdir/*.jsp soient transmises à Tomcat avant que vos modifications .htaccess aient la possibilité de publier cette redirection vers https.

Je pense que vous allez vouloir append des contraintes de security dans votre tomcat web.xml afin que vos requests correspondant à url-pattern /webappdir/*.jsp soient configurées pour utiliser une garantie de transport CONFIDENTIEL. (Au less, c'est ce que les spécifications de servlet et jsp semblent supposer que vous allez vouloir) Je n'ai pas de système pour jouer maintenant, mais peut-être quelque chose dans les lignes suivantes dans votre web.xml peut travail:

 // Sample Security Constraint <security-constraint> <web-resource-collection> <web-resource-name>require ssl</web-resource-name> <url-pattern>/webappdir/*.jsp</url-pattern> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </web-resource-collection> </security-constraint> 

Mise en garde: je ne suis pas sûr de 100% sur l'url-pattern, il faudra probablement expérimenter un peu ici. Si vous ne voulez pas ssl chiffrer toutes vos jsp, vous pourriez vous refind avec une list beaucoup plus longue d'inputs de model url. De plus, je ne me souviens pas si Tomcat émet une redirection 301 suggérant que le browser re-suit le lien en utilisant https ou si Tomcat émet un autre code d'état.

Bien sûr, ssl n'ajoute pas trop de frais généraux, de sorte que vous pourriez simplement chiffrer tout le site. Cela rendrait probablement plus heureux vos visiteurs plus conscients de la security.

  • Remplacer un seul file sur la guerre déployée par Tomcat
  • Comment modifier le port d'écoute pour une installation Confluence?
  • Apache 2.2 avec Tomcat
  • Installation de certificate ssl sur Tomcat
  • Comment puis-je modifier le encoding par défaut d'un server / conteneur Tomcat?
  • Comment spécifier le path d'access dans Apache tomcat catalina pour un dossier sur un server différent?
  • Étapes pour configurer Tom Cat et Apache pour plusieurs users
  • apache & mod_pagespeed + question de vernis
  • http dans l'en-tête d'location lorsque la request initiale a été faite sur https
  • FarmWarDeployer est-il compatible avec Tomcat 7?
  • L'en-tête "X_FORWARDED_FOR" n'est pas présent dans la requête
  • Les astuces du serveur de linux et windows, tels que ubuntu, centos, apache, nginx, debian et des sujets de rĂ©seau.