AJP 足够安全吗？

Question

我们需要在我们的托管服务中托管一个 java richfaces/hibernate 应用程序。根据我们安全部门的要求，我们无法从该应用程序到我们的内部数据库建立任何连接。一种建议的解决方案是创建一个内部 Web 服务，但更改所有数据库层很困难。我想用 AJP 代替。它足够安全吗？

[编辑] 我问这个问题的意思是 apache httpd 将提供 https 服务，并且通过包装 AJP 进入我们的内部服务器可以监控通道（明文）吗？我没有找到协议本身的文档。

Answer 1

AJP 是前端 Web 服务器和后端应用服务器之间 HTTP 的直接替代品。因此，它的安全性并不比 HTTP 更高或更低。如果您选择 AJP，您选择它纯粹是出于性能原因，没有其他原因。如果您出于其他原因考虑它，则需要重新考虑您的要求。

Answer 2

足够安全有什么用？跨网络明文监控？足够安全，普通 SO 读者无法拦截和读取它？还是美国国家安全局？

安全性是一种权衡，您需要确定您要尝试击退哪种类型的攻击，以及您要付出多少努力。我知道这不能回答您的问题，但我不知道相信不用考虑这个问题就可以回答这个问题。