AJP足够安全吗？

Question

我们需要在我们的托管服务中托管一个java richfaces/hibernate应用程序。作为我们安全部门的要求，我们不能从该应用程序与我们的内部数据库建立任何连接。一个建议的解决方案是制作一个内部Web服务，但更改所有数据库层很困难。我想用AJP代替。它足够安全吗？

[编辑] 通过问这个问题，我的意思是说，Apache httpd将服务于https，并通过包装AJP进入我们的内部服务器，可能会监视频道（明文）？我没有找到协议本身的文档。

Answer 1

AJP是前端Web服务器和后端应用服务器之间的HTTP的直接替代品。因此，它不会比HTTP更安全。如果您选择AJP，则纯粹出于性能原因选择它，除此之外别无选择。如果您考虑其他原因，则需要重新考虑您的要求。

Answer 2

足够安全吗？通过网络进行纯文本监控？足够安全，一般的SO阅读器不能拦截并阅读它？还是NSA？

安全性是一种权衡，你需要确定你想要排斥什么类型的攻击，以及你将付出多少努力。我知道这并不能回答你的问题，但我不认为这个问题可以没有考虑到这个问题。