Bonjour, j'ai une application Java sécurisée par Spring Security. Le client qui veut accéder à l'application doit fournir le user et le password, et l'authentification est faite par Spring Security en interrogeant un annuaire LDAP. Jusque là tout va bien.
Maintenant, nous devons mettre un serveur web Apache 2 en frontal du serveur Tomcat, et sécuriser la connexion au serveur Apache en SSL/HTTPS. Cependant, la connexion entre Apache et Tomcat reste en HTTP.
On a donc :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
Client-----(connexion https/ssl)----->Apache-----(connexion http)----->Tomcat
Cela veut dire que le login/password envoyé par le client sera donc transmis en clair entre Apache et Tomcat, non ?
A part mettre du HTTPS/SSL entre Apache et Tomcat, y'a-t-il un autre moyen pour s'authentifier avec Spring Security sans que les données d'authentification transitent en clair ?
J'ai entendu parler de SAML ?

Merci d'avance