在Play!框架上强制使用SSL

有几种方法可以强制使用SSL。

首先，您可以将所有操作设置为使用.secure()方法，例如：

<a href="@{Application.index.secure()}">index page</a>

或者，也可能是最好的方法，是通过前端HTTP服务器（如Apache、Nginx或Lighttpd）完成此操作。

前端HTTP服务器的基本思想是：您的应用程序在9000端口运行，但不可从外部网络访问。所有传入请求由HTTP处理，并配置为仅接受HTTPS。 HTTPS由HTTP服务器处理，然后将请求转发给Play。

这样可以使您的整个Play应用程序正常工作，而SSL则被卸载到另一个应用程序中。

这种方法也可以应用于负载均衡器，而不是HTTP服务器，但我猜大多数人会选择更便宜的HTTP服务器，除非在企业环境中运行。

在控制器中，您可以检查request.secure是否为真，并执行重定向或返回403 /访问被拒绝。 您可以通过以下方式强制整个控制器使用SSL：

public static class ForceSSL extends Controller
{
    @Before
    static void verifySSL()
    {
        if (request.secure == false)
            redirect("https://" + request.host + request.url); 
    }
}

...并注释另一个控制器：

@With(ForceSSL.class)
public class Foo extends Controller
{
....
}

另请参阅 http://groups.google.com/group/play-framework/browse_thread/thread/7b9aa36be85d0f7b