私はサーブレットとJSPを驚いています。私は簡単なアプリを作りたかったのです。ログインすると、ログインページが表示されます。ユーザーはログイン/パスワードを入力するか、自分で登録することができます。私はhttpsを使用する必要がある場合、私はパスワードが "傍受される"ことから保護したいと思っていたのだろうか?または、アプリケーションレベルでパスワードを保護する他の方法がありますか?ログインページのセキュリティ(サーブレット/ JSPを使用)
唯一の方法であれば、アプリへのアクセスをhttpsから制限することはできますか? (私はTomcatを使用しています)。
あなたは休息で運動でデータとデータのセキュリティを必要とします。したがって、と、両方ともが必要です。トランスポートレベルではSSL(HTTPS)であり、永続レベルでは通常hash the password with a saltですが、表示中は明らかにマスクと入力してください。
httpsを使用する場合は、パスワードを「インターセプト」から保護したい場合は、または、アプリケーションレベルでパスワードを保護する他の方法がありますか?
はい、HTTPSはまさにこの目的のために設計されています。いいえ、HTTPを使いたいときには本当に別の方法はありません。 TomcatでHTTPSを設定するには、Tomcat SSL Configuration HOW-TOを読んでください。
それが唯一の方法である場合、それは、HTTPSから唯一のアプリケーションへのアクセスを制限することは可能でしょうか? (私はTomcatを使用しています)。
はい、可能です。コンテナ管理の認証を使用する場合は、転送保証をCONFIDENTIALweb.xmlに設定することで、これを強制できます。 Java EE 6 tutorial - Securing web applicationsも参照してください。 Tomcatはここでは関係ありません。以前に答えたように、HTTPSをサポートしていることを確認する必要があります。あなたはしかし、認証をhomegrowingしている場合
<security-constraint>
...
<user-data-constraint>
<transport-guarantee>CONFIDENTIAL</transport-guarantee>
</user-data-constraint>
</security-constraint>
、あなたはServletRequest#isSecure()戻りfalseかどうかを確認し、適切なHTTPS URLスキームへのリダイレクトを送信するカスタムfilterを実装する必要があると思います。
ありがとうございました:) – Andna
ありがとうございました:) – Andna