2 questions sur sécurité d'une web app et couplage apache/tomcat
Hello !
J'ai développé une web application J2EE tournant sur un serveur TOMCAT et je me pose deux questions pour les développements futurs :
1) J'ai lu l'article Couplage Apache HTTP & Tomcat (http://zekey.developpez.com/tutoriel/apache/tomcat/) : une phrase a soulevé une interrogation:
Est-ce que cela veut dire qu'Apache est plus rapide en règle générale pour me servir les pages de mon application web ou qu'Apache est plus rapide lorsqu'on veut utiliser une connexion HTTPS ?Lors de la mise en production d'une application Internet ou intranet, il est fréquent de vouloir protéger les transferts par une connexion sécurisée (HTTPS). Même si Tomcat le permet (il suffit d'activer une option dans le server.xml de Tomcat), utiliser Apache est un meilleur choix du fait de sa vitesse.
2) J'accède à mon appli en intranet pour le moment (j'ai cependant un mécanisme d'authentification/autorisation basé sur Acegi pour le framework Spring). Cependant, j'aimerais pouvoir travailler de la maison, donc avoir un accès sécurisé par internet. Est-il possible de configurer Apache pour autoriser les utilisateurs du réseau local à accéder à l'appli sans précaution particulière mais de n'autoriser les utilisateurs extérieurs que sur validation d'un certificat électronique (qui me semble une meilleure sécurité qu'un login + password) ? Ceci afin d'avoir à gérer un minimum de certificats (uniquement les quelques personnes qui travailleraient à distance).
Merci d'avance pour vos conseils
--
Arnaud
(PS : message posté ici et sur le forum Apache)
Répondre avec citation
Partager