Конфигурация ограничения безопасности для Tomcat обязательна?

Чтобы выполнить тестирование конфигурации SSL в Tomcat, это все обязательное?

Эта строка ниже взята из веб-сайта:

Чтобы сделать это для нашего теста, возьмите любое приложение, которое уже успешно развернуто в Tomcat, и сначала получите доступ к нему через http и https, чтобы убедиться, что он работает нормально. Если да, то откройте web.xml этого приложения и просто добавьте этот фрагмент XML до окончания веб-приложения i.e </web-app>:
<security-constraint>
    <web-resource-collection>
        <web-resource-name>securedapp</web-resource-name>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

Является ли эта конфигурация обязательной для работы внутри файла web.xml?

Ответ 1

Нет, это не обязательно. Это означает, что ваше веб-приложение только доступно через HTTPS (и недоступно через HTTP).

Если вы опустите тег <transport-guarantee>CONFIDENTIAL</transport-guarantee> (или весь <security-constraint>), ваше приложение будет доступно через HTTP и HTTPS. Если ваш web.xml содержит <transport-guarantee>CONFIDENTIAL</transport-guarantee>, Tomcat автоматически перенаправляет запросы на порт SSL, если вы пытаетесь использовать HTTP.

Обратите внимание, что в конфигурации Tomcat по умолчанию не включен соединитель SSL, вы должны включить его вручную. Подробнее см. Конфигурация SSL HOW-TO.

Ответ 2

Если вы посмотрите ближе, блог объяснит, что далее:

Доступ к любому ресурсу в вашем приложении возможен только с помощью HTTPS, будь то сервлеты или JSP. Термин CONFIDENTIAL - это термин, который сообщает серверу, что приложение работает на SSL. Если вы хотите отключить режим SSL для этого приложения, просто откройте фрагмент. Просто поставьте значение NONE вместо CONFIDENTIAL.