抗投诉服务器
tomcat 监听 127.0.0.1 或者 部署在 内网机器上， 就是安全的

一定程度，如果nginx被攻破，还是可以监听到tomcat的内容的。

不用https应该是可以嗅探到的，最好还是双方都https，就像Google PageSpeed Service SSL。


nginx被攻破，后面用了ssl还是可以监听到。

做中间人的话，如果客户端验证证书是不是就无法连接成功了？


不是中间人，实际上是这样的
客户端 SSL加密--->Nginx SSL解密--->NGINX作为客户端SSL加密---->Tomcat SSL解密
^
|
|
|
|
SSL added and removed here :)


中间那个竖线在nginx ssl解密后，再次加密发到tomcat前

可是如果NG都被攻破了，那就算后面用的是SSL，貌似想听包或者做中间人也不是什么太大难度的事了，比如改回源目标

你有两把一模一样的锁。一把锁了大门，一把锁住卧室。两把同时锁给你带来的更多的是心理上的安慰。

ssl一般是要校验证书的，你攻破nginx，但你没有tomcat上的ssl证书，客户端验证你的证书信息时候肯定出错。

nginx是怎么被攻破的？为什么nginx被攻破了，tomcat就不会被攻破了？