使用HTTP进行反向代理后，Jetty安全会话cookie

问题描述

| 我在Jetty 6前面使用了反向代理（Apache）。用户使用SSL连接到Apache，并且Apache通过纯HTTP将一些请求转发给Jetty。我希望Jetty使用安全的会话cookie。有人会认为这是安装Jetty之后任何人都要做的第一件事-但我很难将其投入使用。我将Jetty设置为使用安全cookie，如另一个stackoverflow问题中所述。但是，Jetty拒绝使用安全cookie-我认为这是因为来自反向代理的连接不是SSL。我试图说服Jetty，它正在处理通过sonatype.com上的描述通过SSL发出的请求。也就是说，我在Apache中添加了以下内容：

RequestHeader set X-Forwarded-Scheme \"https\"

并在/etc/jetty/jetty.xml中：

<Set name=\"handler\">
  <New id=\"Handlers\" class=\"org.mortbay.jetty.handler.rewrite.RewriteHandler\">
    <Set name=\"rules\">
      <Array type=\"org.mortbay.jetty.handler.rewrite.Rule\">
        <Item>
          <New id=\"forwardedHttps\"
               class=\"org.mortbay.jetty.handler.rewrite.ForwardedSchemeHeaderRule\">
            <Set name=\"header\">X-Forwarded-Scheme</Set>
            <Set name=\"headerValue\">https</Set>
            <Set name=\"scheme\">https</Set>
          </New>
        </Item>
      </Array>
    </Set>

    <Set name=\"handler\">
      <New id=\"Handlers\" class=\"org.mortbay.jetty.handler.HandlerCollection\">
        <Set name=\"handlers\">
          <Array type=\"org.mortbay.jetty.Handler\">
            <Item>
              <New id=\"Contexts\" class=\"org.mortbay.jetty.handler.ContextHandlerCollection\"/>
            </Item>
            <Item>
              <New id=\"DefaultHandler\" class=\"org.mortbay.jetty.handler.DefaultHandler\"/>
            </Item>
            <Item>
              <New id=\"RequestLog\" class=\"org.mortbay.jetty.handler.RequestLogHandler\"/>
            </Item>
          </Array>
        </Set>
      </New>
    </Set>
  </New>
</Set>

仍然没有安全的cookie。有什么建议么？

解决方法

我无法在Jetty 6上使用它。升级到Jetty 9后，我可以使用它。我在/etc/jetty.xml中对此进行了更改。它已被注释掉，而我则未加注释：

<!-- Uncomment to enable handling of X-Forwarded- style headers -->
 <Call name=\"addCustomizer\">
  <Arg><New class=\"org.eclipse.jetty.server.ForwardedRequestCustomizer\"/></Arg>
</Call>

在反向代理（现在为nginx）中，proxy_set_header X-Forwarded-Proto用于告诉Jetty请求是http还是https：

location / {
  proxy_pass http://127.0.0.1:8080;
  proxy_pass_header Server;
  proxy_set_header Host $http_host;
  proxy_set_header X-Forwarded-Proto $scheme;
}

最后，在webapp \的web.xml中，这将启用安全且仅HTTP的会话Cookie：

<?xml version=\"1.0\" encoding=\"UTF-8\"?>

<web-app xmlns=\"http://java.sun.com/xml/ns/javaee\"
      xmlns:xsi=\"http://www.w3.org/2001/XMLSchema-instance\"
      xsi:schemaLocation=\"http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd\"
      version=\"3.0\">

  <!-- filters and other stuff here -->

  <session-config>
    <session-timeout>120</session-timeout>
    <cookie-config>
      <http-only>true</http-only>
      <secure>true</secure>
    </cookie-config>
    <tracking-mode>COOKIE</tracking-mode>
  </session-config>

</web-app>

cookie cookie http http jetty 代理会话会话使用使用使用反向安全安全进行