Bonjour,
Je dois mettre en place une architecture avec un serveur web Apache en frontal de 2 serveurs Tomcat. La communication doit être en HTTPS/SSL, et d'après ce que j'ai pu lire assez souvent, il est très courant d'avoir du HTTPS jusqu'au serveur Apache, puis du simple HTTP jusque Tomcat. D'ailleurs, c'est ce qui est aussi indiqué sur cette page : http://tomcat.apache.org/tomcat-5.5-doc/ssl-howto.html (dans la rubrique "SSL and Tomcat").
Cela semble donc être une bonne pratique d'avoir ceci :
Client-----(connexion https/ssl)----->Apache-----(connexion http)----->Tomcat
Mais, dans mon cas, je dois transmettre des informations d'authentification au niveau applicatif, donc jusque Tomcat (par exemple un login et un password, ou bien par exemple un certificat) pour authentifier l'utilisateur et récupérer des droits d'accès. Cela veut donc dire que les infos d'authentification seront transmises en clair entre Apache et Tomcat.
Dans ce cas, faut-il du HTTPS aussi jusque Tomcat ? Quelle est la bonne pratique à adopter ?
Merci d'avance
Le marlou
Partager