브라우저에서 실행중인 Tomcat 서버 및 클라이언트에서 백엔드를 실행 중입니다. 응용 프로그램은 Spring 3 MVC + Spring 보안 프레임 워크를 기반으로합니다. 통신을 확보하는 방법? HTTPS를 통해서만 액세스 할 수 있도록 서버를 설정하는 것 외에 다른 옵션이 있습니까? 나는 어리석은 질문일지도 모르지만 이것으로 아무 경험도 없다, 그러나 이것은 나의 신청에 영향을 미치고 서버는 https를 통해 GET/POST 요구를 통해 클라이언트와 교통 할 때 나의 app에서 무언가를 설치해야 하는가?클라이언트 - 서버 앱에서 통신을 보호하는 방법은 무엇입니까?
HTTPS는 확실히 HTTPS를 사용하는 HTTP 클라이언트 서버 응용 프로그램을 보유하고 있으므로 HTTPS 형식입니다. 웹 사이트에 대한 SSL 인증서를 작성하고 웹 사이트에 대한 액세스를 HTTPS로만 제한하면 99.99 % 안전합니다. 인증서는 Versign의 상업용이거나 동급이거나 일부 오픈 소스 엔진 일 수 있습니다. 클라이언트의 경우 HTTPS를 지원하기 위해 수행 할 작업이 없습니다
"보안"이란 의미에 따라 다릅니다. 개인 정보 보호를 원할 경우 TLS (SSL)를 전송 수단으로 사용해야합니다.
인증에만 관심이있는 경우 다이제스트 인증이 있습니다.
다이제스트 인증을 사용하면 클라이언트 (일반적으로 브라우저)와 서버가 전체 통신을 보호하지 않고 안전한 방식으로 인증 자격 증명을 교환 할 수 있습니다. 다이제스트 인증을 사용하는 경우, 제 3자가 여전히 할 수 있습니다
이무엇 타사 변경 할 수 없다는 것은 스푸핑 인증 또는 사용자 이름/패스워드를 도용합니다.
충분히 안전하지 않은 경우 TLS가 필요합니다. 반드시 인증서를 구입할 필요는 없습니다. OpenSSL을 사용하여 자신 만의 OpenSSL을 생성 할 수 있습니다. 그러나이 인증서는 브라우저에서 자동으로 신뢰하지 않으므로 공개 사이트에는이 인증서를 실제로 사용할 수 없습니다.
필요에 따라 HTTPS 또는 다이제스트 인증을 설정하는 방법은 서버 설명서를 참조해야합니다.
HTTP에서 HTTPS로 전환해도 응용 프로그램이 영향을 받아서는 안됩니다. Tomcat이 처리하거나 Apache를 앞뒤로 처리 할 수 있습니다. 클라이언트가 응용 프로그램이 아니라 서버 (Tomcat)에 연결하기 때문에 HTTPS는 응용 프로그램 항목이 아니라 서버 항목이라는 것을 이해하는 것이 중요합니다. Tomcat 설명서를 확인하십시오. 어떻게 작동하는지 꽤 명확합니다.
그리고 다른 말처럼 : HTTPS (TLS/SSL)를 사용하는 것이 가장 좋습니다. 인증서는 처음에는 다소 놀랍지 만 시간을 투자 할 가치가 있습니다.
유일한 것은 HTTP 보안을 위해 보안 컨텍스트 설정 파일 내에서 HTTP를 통한 액세스를 제한하고 HTTPS를 통해서만 액세스를 제한해야한다는 것입니다. – Dworza
@Dworza HTTPS 만 사용하면 보안을 보장하는 것이 가장 쉬운 방법입니다. –
@Dworza Tomcat에서 HTTPS를 구성합니다 (web.xml이 올바른 경우). docu를 확인하십시오, 꽤 자세합니다. –