Comment configurer Tomcat pour toujours exiger HTTPS

Tout d'abord, assurez-vous que vous avez configuré et activé les éléments HTTP et HTTPS dans votre conf/server.xmlfichier:

     

Pour plus de détails sur la préparation de votre fichier conf / keystore, consultez //tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html.

Redémarrez Tomcat et testez ces deux connecteurs, en vous assurant que vous pouvez accéder à votre application Web via l'un ou l'autre des connecteurs avant de continuer. Ensuite, modifiez le WEB-INF/web.xmlfichier de votre application Web et ajoutez ce qui suit à l'intérieur de votre élément de conteneur:

                               HTTPSOnly / * CONFIDENTIEL HTTPSOrHTTP * .ico / img / * / css / * AUCUN              

Cette configuration déclare que l'application Web entière est censée être uniquement HTTPS et que le conteneur doit intercepter les requêtes HTTP correspondantes et les rediriger vers l'URL // équivalente. L'exception concerne certaines demandes ayant des modèles d'URL qui correspondent à la HTTPSOrHTTPcollection de ressources Web, auquel cas les demandes seront servies via le protocole sur lequel la demande est arrivée, HTTP ou HTTPS.

Enfin, redémarrez votre application Web (ou Tomcat). Il devrait maintenant rediriger les requêtes HTTP vers HTTPS et servir l'application Web via HTTPS uniquement.