GlassFishでHttpServletRequest#isSecure()をtrueにする方法

環境
`IIS 7.5` -> `ARR`(SSLオフロード有効) -> `GlassFish 3.1.2.2`

GlassFish側で、リクエストがHTTPS通信かチェックしたいのですが、上記の通りリバースプロキシ環境のため、HttpServletRequest#isSecure()は常にfalseが返却されてしまいます。

そこで、ネット上で散見される「Cookieにsecure属性を付与する」方法を試したのですが、どうもうまくいかず、#isSecure()はfalseしか返却されません。

何か他の方法をご存知でしたらご指南ください。

これまで試した設定

lang
1<!-- web.xml -->
2<session-config>
3  <cookie-config>
4    <secure>true</secure>
5  </cookie-config>
6</session-config>

lang
1<!-- glassfish-web.xml -->
2<session-config>
3  <cookie-properties>
4    <property name="cookieSecure" value="true"/>
5  </cookie-properties>
6</session-config>

2/21 検証したXMLを修正

行動規範の内容に同意します

回答1件

環境を拝見しましたがSSLのエンドポイントがARRになるため、バックエンドのglassfishの通信は平文となるのでメソッドでは判定できないのではないでしょうか。
メソッドで判定できるのはglassfish上でSSLを構成した場合（参考HP）になるかと思います。
SSLオフロードを構成した経験は無いのですが、ご参考までに。

推測で失礼しますが、目的がCookeiにsecure属性を付けたい（cookeiのやり取りも暗号化したい）のが目的であれば、２つめのXMLのValueにtrueを設定すれば良いようです。

lang
1<session-config>
2  <cookie-properties>
3   <property name="cookieSecure" value="true"/>
4  </cookie-properties>
5</session-config>

SSLアクセラレータを入れる場合、これをやらないとCookeiは平文になってしまうのですね。勉強になりました。
参考サイト
 Oracle GlassFish Server 3.1 Application Deployment Guide cookie-properties

投稿2015/02/20 00:11

編集2015/02/20 16:24

BlueMoon

総合スコア1339

jcs502ulf

2015/02/20 09:09

ご回答ありがとうございます。 Apache->Tomcatの場合は、ApacheがHTTPヘッダーにセキュアチャネルである旨を付与できて、Tomcat側でisSecure()が使えた記憶があり、同じような仕組みがあるのでは、と思った次第です。 GlassFishがisSecure()をtrueとするようなヘッダーをIIS側で付与できればうまくいきそうなのですが。

BlueMoon

2015/02/20 14:13

手がかりになるかとApache->Tomcatの例について調べてみたのですが、ApacheがSSLエンドポイントになるのでTomcat側でsecureで有ることを設定してCookeiの暗号化を有効にする例しか見つけられませんでした。（私の勉強不足であれば済みません。）もし目的がCookeiの暗号化に有るのであれば、方法を見つけましたので回答に追記いたします。

jcs502ulf

2015/02/21 03:41

調査していただきありがとうございます。目的ですが、クライアントからのリクエストがhttpsかをGlassFish側で判定したいのです。ログイン後はhttps通信が前提であり、もしhttpsでなければエラーを返却しようと考えております。記載した例がCookieの設定のもので、混乱させてしまいすみませんでした。また、2つめのXMLのvalueはtrueでも検証しておりますが、うまくいきませんでした。

行動規範の内容に同意します