使用 Tomcat 应用程序保护 HttpServer 上的内容 - 有什么想法吗？

Question

我们在 Tomcat 上有一个 Web 应用程序。该应用程序从专用 Apache HTTP 服务器访问内容（机密）。我们不希望未经授权的用户访问此内容。即只有通过 WebApp（在 Tomcat 上）进行身份验证的用户才能访问 HttpServer 内容。 （我们使用 HTTPS 来保护网络，但如果有人获取内容的直接 httpserver url，他们可能会下载内容）。

我们正在考虑在 Tomcat 上的同一个 Web 应用程序中托管内容。有什么想法吗？

Answer 1

执行此操作的简单/惰性方法是强制每次访问 Apache 服务器时的 HTTP Referrer 都是 Tomcat 服务器的地址。相关页面： http://www.htaccess-guide.com/deny -visitors-by-referrer/

但是，如果黑客发现这是您的保护方案，那么欺骗 HTTP 引荐来源网址是相当简单的。

两种更复杂但安全的方法，按工作顺序排列：

1. 在 Tomcat 服务器上编写 JSP 页面或其他内容来验证用户是否已登录，然后通过 HTTP 从 Apache 获取数据，然后将数据输出回最终用户。通过这样做，您可以有效地编写自己的反向代理。然后将 Apache 服务器锁定为仅向 Tomcat 服务器的 IP 地址（以及您希望允许的任何其他授权/内部 IP）提供页面。优点：仍然很快。缺点：您使用 tomcat 资源来显示其他服务器上的每个页面，它可能会引入可扩展性问题，特别是如果 apache 服务器提供大量字节（例如，如果 apache 提供 500 meg 文件，是否会耗尽资源）你的 tomcat 脚本的内存？这取决于你编码和测试 JSP 页面的能力！）。如果页面很小，可能不是问题。

2. 在 Apache 和 Tomcat 之间实现某种单点登录。这可以是基于 cookie 的或者更奇特的东西（比如使用跟踪会话的后端身份验证服务器）。通过这种方式，Apache 就会知道请求 https:// 页面的用户已通过正确的身份验证，否则会拒绝该请求。优点：完全可扩展。缺点：较难设置，许多解决方案都是商业/付费产品。