HTTP/2是第二代的HTTP協(xié)議,大家可以通過https://http2.akamai.com/demo來感受下Http2的提速。
Spring Boot的web容器選擇中已經(jīng)有Undertow和Jetty兩個(gè)容器可以支持HTTP/2了,這個(gè)例子中我選擇了Undertow作為Spring Boot的web容器。
制作一份證書
雖然Http2沒有強(qiáng)制要求使用TLS,但當(dāng)前幾乎所有瀏覽器均只支持 HTTP/2 Over TLS。這樣做一方面更安全,另一方面利用 TLS的加密機(jī)制可以更好地穿透網(wǎng)絡(luò)中間節(jié)點(diǎn)。所以在我們模擬一個(gè)Http2服務(wù)之前,我們需要產(chǎn)生一份本地的Https證書為后面的試驗(yàn)做準(zhǔn)備。
Java自帶了一個(gè)密鑰管理工具--keytool,利用這個(gè)工具,我們可以產(chǎn)生一份自簽名的證書。
keytool -genkey -alias undertow -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore keystore.p12 -dname "CN=localhost, OU=localhost, O=localhost, L=hangzhou, ST=zhejiang, C=CN"
執(zhí)行這條命令之后,在執(zhí)行命令的目錄下會產(chǎn)生一個(gè)keystore.p12的PKCS12證書,很快我們就會在Spring Boot中使用到這份證書。
不能落下的ALPN
ALPN是Application Layer Protocol Negotiation的縮寫,是 HTTP/2 的一種協(xié)議協(xié)商機(jī)制:
- 客戶端發(fā)起請求,只有請求報(bào)頭,期望與服務(wù)端建立連接。
- 服務(wù)端如果支持HTTP/2,會返回一個(gè)
Upgrade請求,與客戶端協(xié)商是否切換到HTTP/2。 - 當(dāng)雙方都支持HTTP/2的情況下,HTTP協(xié)議會使用HTTP/2,而當(dāng)出現(xiàn)問題時(shí),則使用HTTP/1.1。
為了讓JVM支持這種機(jī)制,需要引入Jetty的alpn_boot,并在項(xiàng)目啟動(dòng)的過程前使用命令:
java -Xbootclasspath/p:<path_to_alpn_boot_jar> ...
對于不同版本的JDK,也需要采用不同版本的alpn_boot,詳情可以參見:http://www.eclipse.org/jetty/documentation/9.4.x/alpn-chapter.html#alpn-versions
啟動(dòng)一個(gè)Http2服務(wù)
Http2的這個(gè)例子是基于之前undertow的Demo做的,在配置類中務(wù)必添加這個(gè)配置,來啟用undertow中的Http2功能:
@Bean
UndertowEmbeddedServletContainerFactory embeddedServletContainerFactory() {
UndertowEmbeddedServletContainerFactory factory = new UndertowEmbeddedServletContainerFactory();
factory.addBuilderCustomizers(builder -> builder.setServerOption(UndertowOptions.ENABLE_HTTP2, true));
return factory;
}
在application.properties中添加Https的相關(guān)配置:
server.port=8443
server.ssl.key-store={path}/keystore.p12
server.ssl.key-store-password=password
server.ssl.keyStoreType=PKCS12
server.ssl.keyAlias=undertow
server.ssl.protocol=TLSv1.2
我們編寫一個(gè)可以被訪問的Controller:
@RestController
@RequestMapping("/test")
public class HiController {
@RequestMapping("/hello")
public String hello() {
return "world";
}
}
啟動(dòng)Application類時(shí),VM的參數(shù)中需要記得加入alpn_boot的配置。
此時(shí)打開Chrome,訪問https://localhost:8443/test/hello
由于我們產(chǎn)生的證書是自簽名的證書,并不會被瀏覽器認(rèn)可,所以會被標(biāo)記成不安全,但是并不影響我們對的TLS使用,通過chrome的插件可以看到網(wǎng)站已經(jīng)采用了HTTP/2。
