Shiro內置了SslFilter用來處理需要使用SSL連接的請求。對需要使用SSL連接的URL配置SslFilter,那麼該請求就會變爲”https”協議。
生成公鑰和私鑰
首先,在命令行中輸入“keytool –genkey”將自動使用默認的算法生成公鑰和私鑰,並以交互方式獲得公鑰持有者的信息。其交互過程如下 :
D:>keytool -genkey -keystore “D:\mykey.keystore” -alias localhost -keyalg RSA
輸入keystore密碼:
再次輸入新密碼:
您的名字與姓氏是什麼?
[Unknown]: localhost
您的組織單位名稱是什麼?
[Unknown]: zhu
您的組織名稱是什麼?
[Unknown]: zhu
您所在的城市或區域名稱是什麼?
[Unknown]: zj
您所在的州或省份名稱是什麼?
[Unknown]: hz
該單位的兩字母國家代碼是什麼
[Unknown]: cn
CN=localhost, OU=zhu, O=zhu, L=zj, ST=hz, C=cn 正確嗎?
[否]: y
輸入<localhost>
的主密碼
(如果和 keystore 密碼相同,按回車):
導出證書
然後通過keytool的export參數導出證書:
D:>keytool -alias localhost -export -storepass 123456 -keystore d:/mykey.keystore -file d:/mycer.cer
注意這裏的alias要和剛纔生成時所用的alias對應起來。
配置tomcat的SSL端口
下面設置tomcat下的server.xml:
找到端口爲8443的Connector,並將其註釋去掉,並改爲如下形式:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="D:\mykey.keystore" keystorePass="123456"/>
需要注意的是,這裏protocol默認爲HTTP/1.1,但是我用HTTP/1.1會報錯:
java.lang.Exception: No Certificate file specified or invalid file format
所以改成了org.apache.coyote.http11.Http11Protocol
配置Shiro
如我們開頭所說,這裏要配置一個SslFilter,並將重定向的端口號設爲8443:
<bean id="sslFilter" class="org.apache.shiro.web.filter.authz.SslFilter">
<property name="port" value="8443"/>
</bean>
<!-- Shiro的Web過濾器 -->
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
<property name="securityManager" ref="securityManager" />
<property name="loginUrl" value="/login" />
<property name="unauthorizedUrl" value="/unauthorized" />
<property name="filters">
<util:map>
<entry key="authc" value-ref="formAuthenticationFilter" />
<entry key="logout" value-ref="logoutFilter" />
<entry key="ssl" value-ref="sslFilter"></entry>
</util:map>
</property>
<property name="filterChainDefinitions">
<value>
/favicon.ico = anon
/special/unauthorized = anon
/register = anon
/login = ssl,authc
/logout = logout
/** = user
</value>
</property>
</bean>
如一切正常,那麼啓動tomcat訪問登陸頁面時會被重定向到8443端口,但Chrome此時會告訴你:
您的連接不是私密連接
那就需要用當剛纔生成的證書了,可以直接雙擊證書安裝到“受信任的根證書頒發機構”,或者從Chrome中導入證書也可以。