1

我正在运行带有 IIS 7.5、AJP 连接器 1.3 和启用了 SSL 的 Tomcat 5.5 的 Windows Server 2008 R2。我使用的是自签名证书,仅用于测试。我还在 web.xml 中添加了一个安全约束,以对名为 BeforeAuth.jsp 的特定页面强制实施 SSL。由于启用了 SSL,Tomcat 在同一网站上同时处理 HTTP 和 HTTPS 流量。

对于特定的 url 模式,我想做的是从 HTTPS 降级到 HTTP,但我不知道该怎么做。

在我的理想示例中,我有一个使用 HTTP 的登录页面。当用户提交页面时,它会导航到 BeforeAuth.jsp,即 HTTPS。然后,BeforeAuth.jsp 被提交并调用一个封闭源代码的第 3 方 Java 身份验证器(通过 HTTPS),并且在成功身份验证后,身份验证器负责将浏览器指向一个名为 home.jsp 的主页,即 HTTP。

所以,它是登录(HTTP)->验证(HTTPS)->主页(HTTP)。

我该怎么做?

谢谢你。

4

1 回答 1

2

您要求的是重定向:只需构建您要重定向到的整个 URL,包括协议 ( https:)。

您真正想要做的是始终使用 SSL:如果您使用 SSL 进行身份验证,为什么不在会话的其余部分使用 SSL?从请求行(如果使用 URL 重写)或 cookie 中嗅探 JSESSIONID 与获取当前会话的用户密码一样好。除非用户的凭据比他们登录后可以访问的数据更有价值,否则最好的选择是始终使用 SSL。

于 2012-08-29T23:42:43.667 回答