Questa domanda è una discussione in corso al lavoro. Assumi un Tomcat che serve alcune applicazioni Web e ha disabilitato tutte le funzionalità di gestione remota e JMX. Se consideri tre scenari:
Quale consideri più sicuro e perché?
Il mio voto sarebbe il numero 3, con il numero 2 come secondo vicino. Suppongo che dipenda dal resto della tua infrastruttura. A mia conoscenza, AJP non supporta la crittografia tra host.
Il numero 3 consente di implementare una architettura a più livelli . Idealmente, il server Apache dovrebbe analizzare / filtrare gli URL per il traffico dannoso e non delegare ciecamente tutte le richieste al server Tomcat.
C'è un articolo abbastanza decente (con commenti) qui: link
Nonostante ciò, sembra che ci sia ancora un po 'di confusione sul fatto che Tomcat sia un server Web, un Appserver o entrambi! Ci sono risposte in conflitto per questa domanda .
Se fossi in me, sceglierei comunque il numero 3 in base a quanto sopra.
Leggi altre domande sui tag webserver