Cara mengkonfigurasi Tomcat agar selalu membutuhkan HTTPS

Pertama, pastikan Anda telah mengonfigurasi dan mengaktifkan elemen HTTP dan HTTPS di conf/server.xmlfile Anda :

     

Untuk detail tentang cara menyiapkan file conf / keystore Anda, lihat //tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html.

Mulai ulang Tomcat dan uji kedua konektor ini, pastikan Anda dapat mengakses aplikasi web melalui salah satu konektor sebelum melanjutkan. Selanjutnya, edit WEB-INF/web.xmlfile aplikasi web Anda dan tambahkan yang berikut di dalam elemen penampung Anda :

                               HTTPSOnly / * CONFIDENTIAL HTTPSOrHTTP * .ico / img / * / css / * NONE              

Konfigurasi ini menyatakan bahwa seluruh aplikasi web dimaksudkan untuk menjadi HTTPS saja, dan penampung harus mencegat permintaan HTTP untuk itu dan mengalihkannya ke // URL yang setara. Pengecualiannya adalah permintaan tertentu yang memiliki pola URL yang cocok dengan HTTPSOrHTTPkoleksi sumber daya web, dalam hal ini permintaan akan disajikan melalui protokol tempat permintaan masuk, baik HTTP atau HTTPS.

Terakhir, mulai ulang aplikasi web Anda (atau Tomcat). Sekarang seharusnya mengalihkan permintaan HTTP ke HTTPS, dan itu harus melayani aplikasi web hanya melalui HTTPS.