HTTPS erzwingen

takidoso

Erfahrenes Mitglied
Hallo und Halli,
ich habe eine kleine Web-Anwendung gebastelt (JSP/Servlets) in der man sic lediglich registrieen und anmelde kann.
Ich habe auch Tomcat soweit gebracht mit eine selbst erstellten Zetifikat auszurüsten. Funktiniert sweit ganz prima.
Nun frage ich mich jedoch (mir fehlt da jedliche Erfahrung), Wie ma die Loginseite, sie ist gleich die erste Seite automatisc mit einer HTTPS-Verbindung vesehen kann. Schließlich weiß ein Anwender erstmal nix so er dann aja auc nicht manuell HTTPS in de URL an seinem Browser-Fenste schreibt.

Gibt es da "best practices"?


Für konstruktive Vorschläge bin ich offen ud dankbar

Takidoso
 
ich habe neuleich auch dann tiefgreifender gegoogelt und fand dann auc sachen die da auf Tomcat passen.
Ic schaffe es dann atsächlich meine Seiten alle unter https zu bringe, aber leider bekomme ich dass was nicht unte https sonde wiede unter http laufen soll nicht zurück zu bringen. :-(

in der web.xml habe ich dazu service constraints definiert
XML:
...
<web-app>
 
  <security-constraint>
  <display-name>Confidential stuff</display-name>
    <web-resource-collection>
        <web-resource-name>confidential stuff</web-resource-name>
        <url-pattern>/index.jsp</url-pattern> <!-- define all url patterns that need to be protected-->
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>

    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>
  
<security-constraint>
   <display-name>Normal stuff</display-name>
    <web-resource-collection>
        <web-resource-name>normal stuff</web-resource-name>
        <url-pattern>/*</url-pattern>
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>

</security-constraint>


</web-app>

anstelle von urlpattern /* hatte ich auch schonmal versucht explizite Seiten einzutragen, doc leider bleibt offenbar alles auf HTTPS
hatte auch für die normalen Zugriffe gedachten constraint auf
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>

stehen. Auch kein Erfolg :-(

Hat jemand eine Ahnung was ich hier anders machen muss, damit ich soowhl eine Umschaltung auf HTTPS als auch eine Rückschaltung erhalte?

Für Hinweise bi ich echt dankbar :)

Takidoso
 
Zuletzt bearbeitet von einem Moderator:
Da dieses eine Art Grenzbereich ist zwischen generell Web und JavaEE ist es vielleicht gut wenn dieses Thema nac JavaEE verscobe werde könnte.

Vieleicht gibt es dort jemanden der Rat weiß.

vielen Dank im Voraus an den Admin

Takidoso
 
Zurück