Shiro處理SSL連接

Shiro內置了SslFilter用來處理需要使用SSL連接的請求。對需要使用SSL連接的URL配置SslFilter，那麼該請求就會變爲”https”協議。

生成公鑰和私鑰

首先，在命令行中輸入“keytool –genkey”將自動使用默認的算法生成公鑰和私鑰，並以交互方式獲得公鑰持有者的信息。其交互過程如下 ：

D:>keytool -genkey -keystore “D:\mykey.keystore” -alias localhost -keyalg RSA
輸入keystore密碼：
再次輸入新密碼:
您的名字與姓氏是什麼？
[Unknown]： localhost
您的組織單位名稱是什麼？
[Unknown]： zhu
您的組織名稱是什麼？
[Unknown]： zhu
您所在的城市或區域名稱是什麼？
[Unknown]： zj
您所在的州或省份名稱是什麼？
[Unknown]： hz
該單位的兩字母國家代碼是什麼
[Unknown]： cn
CN=localhost, OU=zhu, O=zhu, L=zj, ST=hz, C=cn 正確嗎？
[否]： y
輸入<localhost>的主密碼
（如果和 keystore 密碼相同，按回車）：

導出證書

然後通過keytool的export參數導出證書：

D:>keytool -alias localhost -export -storepass 123456 -keystore d:/mykey.keystore -file d:/mycer.cer

注意這裏的alias要和剛纔生成時所用的alias對應起來。

配置tomcat的SSL端口

下面設置tomcat下的server.xml:
找到端口爲8443的Connector，並將其註釋去掉，並改爲如下形式：

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" 
               keystoreFile="D:\mykey.keystore" keystorePass="123456"/>

需要注意的是，這裏protocol默認爲HTTP/1.1，但是我用HTTP/1.1會報錯：

java.lang.Exception: No Certificate file specified or invalid file format

所以改成了org.apache.coyote.http11.Http11Protocol

配置Shiro

如我們開頭所說，這裏要配置一個SslFilter，並將重定向的端口號設爲8443：

<bean id="sslFilter" class="org.apache.shiro.web.filter.authz.SslFilter">  
        <property name="port" value="8443"/>  
    </bean>

    <!-- Shiro的Web過濾器 -->
    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
        <property name="securityManager" ref="securityManager" />
        <property name="loginUrl" value="/login" />
        <property name="unauthorizedUrl" value="/unauthorized" />
        <property name="filters">
            <util:map>
                <entry key="authc" value-ref="formAuthenticationFilter" />
                <entry key="logout" value-ref="logoutFilter" />
                <entry key="ssl" value-ref="sslFilter"></entry>
            </util:map>
        </property>
        <property name="filterChainDefinitions">
            <value>
                /favicon.ico = anon
                /special/unauthorized = anon
                /register = anon
                /login = ssl,authc
                /logout = logout
                /** = user
            </value>
        </property>
    </bean>

如一切正常，那麼啓動tomcat訪問登陸頁面時會被重定向到8443端口，但Chrome此時會告訴你：

您的連接不是私密連接

那就需要用當剛纔生成的證書了，可以直接雙擊證書安裝到“受信任的根證書頒發機構”，或者從Chrome中導入證書也可以。