1.美圖
2.概述
https 現在已經越來越普及了,特別是做一些小程序或者公衆號開發的時候,https 基本上都是剛需了。
不過一個 https 證書還是挺費錢的,個人開發者可以在各個雲服務提供商那裏申請一個免費的證書。我印象中有效期一年,可以申請 20 個。
今天要和大家聊的是在 Spring Boot 項目中,如何開啓 https 配置,爲我們的接口保駕護航。
3.https 簡介
我們先來看看什麼是 https,根據 wikipedia 上的介紹:
超文本傳輸安全協議(HyperText Transfer Protocol Secure),縮寫:HTTPS;常稱爲 HTTP over TLS、HTTP over SSL 或 HTTP Secure)是一種通過計算機網絡進行安全通信的傳輸協議。HTTPS 經由 HTTP 進行通信,但利用 SSL/TLS 來加密數據包。HTTPS 開發的主要目的,是提供對網站服務器的身份認證,保護交換數據的隱私與完整性。這個協議由網景公司(Netscape)在 1994 年首次提出,隨後擴展到互聯網上。
歷史上,HTTPS 連接經常用於網絡上的交易支付和企業信息系統中敏感信息的傳輸。在 2000 年代末至 2010 年代初,HTTPS 開始廣泛使用,以確保各類型的網頁真實,保護賬戶和保持用戶通信,身份和網絡瀏覽的私密性。
另外,還有一種安全超文本傳輸協議(S-HTTP),也是 HTTP 安全傳輸的一種實現,但是 HTTPS 的廣泛應用而成爲事實上的 HTTP 安全傳輸實現,S-HTTP並沒有得到廣泛支持。
3.準備工作
首先我們需要有一個 https 證書,我們可以從各個雲服務廠商處申請一個免費的,不過自己做實驗沒有必要這麼麻煩,我們可以直接藉助 Java 自帶的 JDK 管理工具 keytool 來生成一個免費的 https 證書。
進入到 %JAVVA_HOME%\bin
目錄下,執行如下命令生成一個數字證書:
keytool -genkey -alias tomcathttps -keyalg RSA -keysize 2048 -keystore D:\javaboy.p12 -validity 365
命令含義如下:
- genkey 表示要創建一個新的密鑰。
- alias 表示 keystore 的別名。
- keyalg 表示使用的加密算法是 RSA ,一種非對稱加密算法。
- keysize 表示密鑰的長度。
- keystore 表示生成的密鑰存放位置。
- validity 表示密鑰的有效時間,單位爲天。
具體生成過程如下圖:
[lcc@lcc ~/soft/spring]$ keytool -genkey -alias tomcathttps -keyalg RSA -keysize 2048 -keystore ./javaboy.p12 -validity 365
輸入密鑰庫口令:
再次輸入新口令:
您的名字與姓氏是什麼?
[Unknown]: lcc
您的組織單位名稱是什麼?
[Unknown]: lcc
您的組織名稱是什麼?
[Unknown]: lcc
您所在的城市或區域名稱是什麼?
[Unknown]: 杭州
您所在的省/市/自治區名稱是什麼?
[Unknown]: 閒閒蕭山
該單位的雙字母國家/地區代碼是什麼?
[Unknown]: 330109
CN=lcc, OU=lcc, O=lcc, L=杭州, ST=蕭山, C=330109是否正確?
[否]: Y
輸入 <tomcathttps> 的密鑰口令
(如果和密鑰庫口令相同, 按回車):
Warning:
JKS 密鑰庫使用專用格式。建議使用 "keytool -importkeystore -srckeystore ./javaboy.p12 -destkeystore ./javaboy.p12 -deststoretype pkcs12" 遷移到行業標準格式 PKCS12。
[lcc@lcc ~/soft/spring]$ ll
total 32
drwxr-xr-x@ 6 lcc staff 192 7 6 17:15 ./
drwxr-xr-x@ 45 lcc staff 1440 7 2 09:13 ../
-rw-r--r--@ 1 lcc staff 6148 12 31 2019 .DS_Store
-rw-r--r-- 1 lcc staff 2218 7 6 17:15 javaboy.p12
drwxr-xr-x@ 8 lcc staff 256 11 16 2015 spring-1.3.0.RELEASE/
命令執行完成後 ,會在你指定的目錄下生成javaboy.p12
文件。
4.引入 https
創建Spring項目。項目結構如下
controller如下
package com.spring.boot.https.demo.controller;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import org.springframework.web.bind.annotation.*;
@RestController
@RequestMapping("/message")
public class MessageController {
@RequestMapping(value="hello",method = RequestMethod.GET)
@ResponseBody
public JSONObject hello(){
return JSON.parseObject("{\"code\":0,\"message\":\"dd\"}");
}
@RequestMapping(value="success",method = RequestMethod.POST)
@ResponseBody
public JSONObject add(@RequestBody String aa){
System.out.println(aa);
return JSON.parseObject("{\"code\":0,\"message\":\"dd\"}");
}
}
接下來我們需要在項目中引入 https。
將上面生成的 javaboy.p12
拷貝到 Spring Boot 項目的 resources 目錄下。然後在 application.properties
中添加如下配置:
server.ssl.key-store=classpath:javaboy.p12
server.ssl.key-alias=tomcathttps
server.ssl.key-store-password=123456
其中:
- key-store表示密鑰文件名。
- key-alias表示密鑰別名。
- key-store-password就是在cmd命令執行過程中輸入的密碼。
配置完成後,就可以啓動 Spring Boot 項目了,此時如果我們直接使用 Http 協議來訪問接口,就會看到如下錯誤:
改用 https 來訪問 ,結果如下:
這是因爲我們自己生成的 https 證書不被瀏覽器認可,不過沒關係,我們直接點擊繼續訪問就可以了(實際項目中只需要更換一個被瀏覽器認可的 https 證書即可)。
這裏請參看:在chrome該頁面上,直接鍵盤敲入這11個字符:thisisunsafe
5.請求轉發
考慮到 Spring Boot 不支持同時啓動 HTTP 和 HTTPS ,爲了解決這個問題,我們這裏可以配置一個請求轉發,當用戶發起 HTTP 調用時,自動轉發到 HTTPS 上。
具體配置如下:
@Configuration
public class TomcatConfig {
@Bean
TomcatServletWebServerFactory tomcatServletWebServerFactory() {
TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory(){
@Override
protected void postProcessContext(Context context) {
SecurityConstraint constraint = new SecurityConstraint();
constraint.setUserConstraint("CONFIDENTIAL");
SecurityCollection collection = new SecurityCollection();
collection.addPattern("/*");
constraint.addCollection(collection);
context.addConstraint(constraint);
}
};
factory.addAdditionalTomcatConnectors(createTomcatConnector());
return factory;
}
private Connector createTomcatConnector() {
Connector connector = new
Connector("org.apache.coyote.http11.Http11NioProtocol");
connector.setScheme("http");
connector.setPort(8081);
connector.setSecure(false);
connector.setRedirectPort(8080);
return connector;
}
}
在這裏,我們配置了 Http 的請求端口爲 8081,所有來自 8081 的請求,將被自動重定向到 8080 這個 https 的端口上。
如此之後,我們再去訪問 http 請求,就會自動重定向到 https。
6. 客戶端如何訪問
參考:Apache HttpClient 4.5實現https
7.結語
Spring Boot 中加入 https 其實很方便。如果你使用了 nginx 或者 tomcat 的話,https 也可以發非常方便的配置,從各個雲服務廠商處申請到 https 證書之後,官方都會有一個詳細的配置教程,一般照着做,就不會錯了。
參考:
作者:江南一點雨
鏈接:https://segmentfault.com/a/1190000020052375
來源:SegmentFault 思否
著作權歸作者所有。商業轉載請聯繫作者獲得授權,非商業轉載請註明出處。