当应用程序没有 web.xml 时如何强制重定向到 HTTPS

Question

我正在使用 Servlet 3.x 开发 Web 应用程序，但我没有 web.xml，而是使用配置注释。我想将部署在 Openshift 中的应用程序的所有流量限制为 HTTPS。我发现这篇关于如何在 Tomcat（Jboss EWS）中做到这一点的文章。

https://help.openshift.com/hc/en-us/articles/202398810-How-to-redirect-traffic-to-HTTPS-

但是最后一步涉及我更改我没有的 web.xml。当我试图寻找替代方案时，我可以找到有关 Servlet 安全性的文章。有人可以帮我翻译下面这段代码sn-p吗？

A sample security-constraint directive in repo/src/main/webapp/WEB-INF/web.xml looks like:

<security-constraint>
    <web-resource-collection>
        <url-pattern>/*</url-pattern>
    </web-resource-collection>
    <user-data-constraint>
        <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    </user-data-constraint>
</security-constraint>

Answer 1

目前无法使用@ServletSecurity 注释映射<url-pattern>/*</url-pattern>。它仅适用于@WebServlet 中定义的模式。

你可以像这样定义注解：

@ServletSecurity(@HttpConstraint(transportGuarantee = 
TransportGuarantee.CONFIDENTIAL))
@WebServlet(”/SSLServlet”)
public class SSLProtected extends HttpServlet {
}

但是，它只会对访问that servlet（/SSLServlet 模式）提出 SSL 要求，而不是整个应用程序。您可以为所有 servlet 定义此类注释，但它比使用 web.xml 更容易出错。 这就是为什么仍然建议使用web.xml而不是注解来定义安全约束的原因。

只需使用您提供的片段将web.xml 添加到您的应用程序的WEB-INF 文件夹中，您就可以了。有什么理由不能使用web.xml？