Cómo configurar Tomcat para que siempre requiera HTTPS

Primero, asegúrese de haber configurado y habilitado los elementos HTTP y HTTPS en su conf/server.xmlarchivo:

     

Para obtener detalles sobre cómo preparar su archivo conf / keystore, consulte //tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html.

Reinicie Tomcat y pruebe ambos conectores, asegurándose de que puede acceder a su aplicación web a través de cualquiera de los conectores antes de continuar. A continuación, edite el WEB-INF/web.xmlarchivo de su aplicación web y agregue lo siguiente dentro de su elemento contenedor:

                               HTTPSOnly / * HTTPSOrHTTP CONFIDENCIAL * .ico / img / * / css / * NINGUNO              

Esta configuración declara que toda la aplicación web debe ser solo HTTPS, y el contenedor debe interceptar las solicitudes HTTP y redirigirlas a la URL // equivalente. La excepción son ciertas solicitudes que tienen patrones de URL que coinciden con la HTTPSOrHTTPcolección de recursos web, en cuyo caso las solicitudes se atenderán a través del protocolo en el que entró la solicitud, ya sea HTTP o HTTPS.

Por último, reinicie su aplicación web (o Tomcat). Ahora debería redirigir las solicitudes HTTP a HTTPS y debería servir la aplicación web solo a través de HTTPS.