前言

基本上現在網絡訪問都會使用 HTTPS，因此很有必要為我們的后端應用增添 HTTPS 訪問能力。

本篇博文主要介紹下在 Spring Boot 下開啟 HTTPS 訪問配置過程。

準備工作

HTTPS 訪問前提是需要有一個 HTTPS 證書，證書的獲取過程常見的有如下途徑：

• 商用證書：一些專業的商用證書需要我們進行購買，價格也挺貴的。
• 免費證書：網絡上有些機構會提供一些免費證書，比如一些云服務器廠商，一個賬號可以申請多個證書（20 個左右），證書有效期大概一年左右。
• 本地證書：如果只是對本地 HTTPS 訪問進行測試，我們可以直接使用 Java JDK 自帶的管理工具keytool來生成一個本地證書。

這里我們為 Spring Boot 配置 HTTPS，就直接使用 本地證書 即可，進入到%JAVA_HOME%/bin目錄，執行如下命令生成一個本地數字證書：

keytool -genkey -alias tomcathttps -keyalg RSA -keysize 2048 -keystore whyn.p12 -validity 5

其中：

• -genkey：表示創建一個新的密鑰
• -alias：表示密鑰（即 keystore，相當于加密后的私鑰）的別名
• -keyalg RSA：表示使用的加密算法是 RSA，一種非對稱性加密算法
• -keysize：表示密鑰長度
• -keystore：表示生成的密鑰存放位置
• -validity：表示密鑰有效時間，單位為天

執行以上命令，最終會生成一個密鑰，我們這里的密鑰為：whyn.p12

導入密鑰

上面步驟我們已經生成了一個密鑰文件whyn.p12，接下來就可以將其導入到 Spring Boot 項目中了，步驟如下：

• 將密鑰whyn.p12拷貝到項目resources目錄下

• 在application.properties中，配置服務器開啟 HTTPS：

  # 配置端口
  server.port=8080
  # 配置協議
  server.ssl.protocol=TLS
  # 密鑰文件名
  server.ssl.key-store=classpath:whyn.p12 
  # 密鑰別名
  server.ssl.key-alias=tomcathttps 
  # 密鑰密碼
  server.ssl.key-store-password=123456
  

以上就已完成了配置，此時運行項目，瀏覽器輸入https://localhost:8080就可以進行訪問。

注：由于我們使用的是自簽名證書，不被系統信任，因此第一次訪問時，瀏覽器會出現以下警告頁面，此時我們允許繼續訪問即可。

同時支持 HTTP 和 HTTPS

按上文配置，此時如果我們訪問http://localhost:8080，會發現訪問失敗，這是因為 Spring Boot 默認不支持同時在配置中啟動 HTTP 和 HTTPS。

如果我們想同時支持 HTTP 和 HTTPS，只需將其中一個用代碼進行配置即可。

Spring Boot 推薦的做法是使用配置文件配置開啟 HTTPS，而使用代碼配置開啟 HTTP，因為 HTTP 通過代碼進行開啟的方式相對簡單，如下所示：

@Configuration
public class EnableHTTPConfig {

    @Bean
    public ServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory();
        tomcat.addAdditionalTomcatConnectors(createTomcatConnector());
        return tomcat;
    }

    private Connector createTomcatConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setPort(8081);
        return connector;
    }
}

我們只需向 Spring IOC 容器中注入一個配置Bean即可，此時運行程序，可以看到以下輸出：

enable http & https

可以看到，我們已經成功同時開啟了 HTTP 和 HTTPS 協議。

注：實際上，雖然我們能同時啟用 HTTP 和 HTTPS，但在實際項目部署時，一般都避免使用 HTTP 進行訪問，因為 HTTP 是明文傳輸，信息很容易被別人截獲，使用 HTTPS 的安全性會更高一些。
因此，更加常用的做法是將 HTTP 的訪問重定向到對應的 HTTPS 中，具體代碼如下：

@Configuration
public class EnableHTTPConfig {

    @Bean
    TomcatServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint constraint = new SecurityConstraint();
                constraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                constraint.addCollection(collection);
                context.addConstraint(constraint);
            }
        };
        tomcat.addAdditionalTomcatConnectors(createTomcatConnector());
        return tomcat;
    }

    private Connector createTomcatConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setScheme("http");
        connector.setPort(8081);
        connector.setSecure(false);
        // 重定向到 8080 端口
        connector.setRedirectPort(8080);
        return connector;
    }
}

上述代碼中，我們配置了 HTTP 請求的端口為 8081，并配置了將來自 8081 端口的所有請求都重定向到 8080 端口。

參考

• Spring Boot 支持 Https 有那么難嗎？
• Spring Boot 支持 HTTPS 如此簡單，So easy!