Tomcat https POST data

Question

Я создаю веб-приложение с Spring MVC для запуска в Tomcat 7. У меня есть запрос POST на странице входа в систему/account/login, которую я хочу отправить по https.

В моей web.xml у меня есть:

<security-constraint> 
    <web-resource-collection> 
     <web-resource-name>Login</web-resource-name> 
     <url-pattern>/account/login</url-pattern> 
    </web-resource-collection> 

    <web-resource-collection> 
     <web-resource-name>Login-Error</web-resource-name> 
     <url-pattern>/account/login-error</url-pattern> 
    </web-resource-collection> 

    <user-data-constraint> 
     <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
    </user-data-constraint> 
</security-constraint> 

И в TOMCAT server.xml У меня есть разъем https:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" 
    SSLEnabled="true" maxThreads="150" scheme="https" 
    secure="true" clientAuth="false" sslProtocol="TLS" 
    keystoreFile="/path/to/my.cert" keystorePass="password" /> 

Когда я попал на страницу входа протокол HTTPS всегда , и сама процедура входа в систему работает нормально.

Однако, когда я использую плагин firefox «данные о несанкционированном доступе» для проверки запроса POST, имя пользователя и пароль находятся в виде простого текста. Я ожидал, что они будут зашифрованы - я что-то пропустил?

Answer 1

Я не уверен в этом, но SSL работает на сетевом уровне, поэтому данные, поступающие с уровня приложения на уровень ssl, незашифрованы, и после этого пакеты шифруются. Это может быть причиной того, что вы можете видеть данные в виде простого текста.