Cookies de sessão segura do Jetty quando por trás do proxy reverso usando HTTP

9

Estou usando um proxy reverso (Apache) na frente do Jetty 6. Os usuários se conectam ao Apache com SSL e o Apache encaminha alguns dos pedidos para o Jetty por HTTP simples. Eu quero que o Jetty use cookies de sessão segura.

Alguém poderia pensar que essa seria a primeira coisa que alguém faria depois de instalar o Jetty - mas estou tendo dificuldades para fazê-lo funcionar.

Eu configuro o Jetty para usar cookies seguros, conforme descrito em outra questão stackoverflow . No entanto, o Jetty se recusa a usar cookies seguros - suponho que seja porque a conexão do proxy reverso não é SSL.

Eu tentei convencer o Jetty de que ele está trabalhando em uma solicitação enviada pelo SSL seguindo uma descrição no tipo de som. com . Ou seja, adicionei o seguinte no Apache:

RequestHeader set X-Forwarded-Scheme "https"

e em /etc/jetty/jetty.xml:

<Set name="handler">
  <New id="Handlers" class="org.mortbay.jetty.handler.rewrite.RewriteHandler">
    <Set name="rules">
      <Array type="org.mortbay.jetty.handler.rewrite.Rule">
        <Item>
          <New id="forwardedHttps"
               class="org.mortbay.jetty.handler.rewrite.ForwardedSchemeHeaderRule">
            <Set name="header">X-Forwarded-Scheme</Set>
            <Set name="headerValue">https</Set>
            <Set name="scheme">https</Set>
          </New>
        </Item>
      </Array>
    </Set>

    <Set name="handler">
      <New id="Handlers" class="org.mortbay.jetty.handler.HandlerCollection">
        <Set name="handlers">
          <Array type="org.mortbay.jetty.Handler">
            <Item>
              <New id="Contexts" class="org.mortbay.jetty.handler.ContextHandlerCollection"/>
            </Item>
            <Item>
              <New id="DefaultHandler" class="org.mortbay.jetty.handler.DefaultHandler"/>
            </Item>
            <Item>
              <New id="RequestLog" class="org.mortbay.jetty.handler.RequestLogHandler"/>
            </Item>
          </Array>
        </Set>
      </New>
    </Set>
  </New>
</Set>

Ainda não há cookies seguros. Alguma sugestão?

    
por Dr.Haribo 25.06.2011 в 16:50
fonte

1 resposta

5

Eu não consegui fazer isso funcionar no Jetty 6. Depois de fazer o upgrade para o Jetty 9, consegui que funcionasse.

Eu mudei isso em /etc/jetty.xml. Foi comentado e eu não o li:

<!-- Uncomment to enable handling of X-Forwarded- style headers -->
 <Call name="addCustomizer">
  <Arg><New class="org.eclipse.jetty.server.ForwardedRequestCustomizer"/></Arg>
</Call>

No proxy reverso (agora nginx) proxy_set_header O X-Forwarded-Proto é usado para informar ao Jetty se a solicitação foi http ou https:

location / {
  proxy_pass http://127.0.0.1:8080;
  proxy_pass_header Server;
  proxy_set_header Host $http_host;
  proxy_set_header X-Forwarded-Proto $scheme;
}

Por fim, no web.xml do webapp, isso ativa cookies de sessão seguros e somente HTTP:

<?xml version="1.0" encoding="UTF-8"?>

<web-app xmlns="http://java.sun.com/xml/ns/javaee"
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
      xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
      version="3.0">

  <!-- filters and other stuff here -->

  <session-config>
    <session-timeout>120</session-timeout>
    <cookie-config>
      <http-only>true</http-only>
      <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
  </session-config>

</web-app>
    
por Dr.Haribo 04.11.2013 / 22:13
fonte