日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
用SpringBoot實(shí)現(xiàn)httpsssl免密登錄

 要讓項(xiàng)目實(shí)現(xiàn) ssl 免密登錄,首先需要開啟 https 。

我們提供的服務(wù)有:成都做網(wǎng)站、網(wǎng)站制作、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、樂清ssl等。為千余家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的樂清網(wǎng)站制作公司

所以先從 Spring Boot 如何開啟 https 說起。

創(chuàng)建服務(wù)端證書

為了開啟 https ,我們需要一份證書。

實(shí)際開發(fā)中,會在網(wǎng)上申請一個(gè)機(jī)構(gòu)頒發(fā)的證書。這里為了方便,我會使用 openssl 命令自己生成一個(gè)證書來使用。

 
 
 
 
    
  
  
  
  
  1. openssl req -x509 -sha256 -days 3650 -newkey rsa:4096 -keyout rootCA.key -out rootCA.crt 
    2.

所有的密碼都是 123456 ,然后根據(jù)提示輸入相關(guān)信息就好,如果嫌麻煩也可以直接回車跳過。

這樣我們就得到了證書 rootCA.crt 和私鑰 rootCA.key 。

要在 Spring Boot 中實(shí)現(xiàn)服務(wù)器端 X.509 身份驗(yàn)證,還需要給我們的服務(wù)端也生成一個(gè)證書。

 
 
 
 
    
  
  
  
  
  1. openssl req -new -newkey rsa:4096 -keyout localhost.key -out localhost.csr 
    2.

同樣,密碼是 123456 ,文件名 localhost 可以自行修改。

接下來就是用 rootCA 給我們的服務(wù)端證書做簽名了,在此之前,我們先寫一個(gè)配置文件,里面寫有一些基本的配置

 
 
 
 
    
  
  
  
  
  1. vi conf.config 
    2. 
 
 
 
 

 
 
 
 
    
  
  
  
  
  1. authorityKeyIdentifier=keyid,issuer 
    2. 
  
  
  
  
  2. basicConstraints=CA:FALSE 
    3. 
  
  
  
  
  3. subjectAltName = @alt_names 
    4. 
  
  
  
  
  4. [alt_names] 
    5. 
  
  
  
  
  5. DNS.1 = localhost 
    6.

 其中 DNS.1 的值就是你的域名,比如 www.segmentfault.com , localhost 等等。如果這里填錯(cuò)了,訪問網(wǎng)站時(shí),瀏覽器會提示網(wǎng)站不安全。

然后給服務(wù)端證書簽名,會提示你輸入 rootCA 的密碼

 
 
 
 
    
  
  
  
  
  1. openssl x509 -req -CA rootCA.crt -CAkey rootCA.key -in localhost.csr -out localhost.crt -days 365 -CAcreateserial -extfile conf.config 
    2.

成功后,讓我們查看一下證書的信息

 
 
 
 
    
  
  
  
  
  1. openssl x509 -in localhost.crt -text 
    2.

最后再將簽名證書和私鑰打包到 PKCS 文件中

 
 
 
 
    
  
  
  
  
  1. openssl pkcs12 -export -out localhost.p12 -name "localhost" -inkey localhost.key -in localhost.crt 
    2.

這條指令會要你先輸入 localhost.key 的密碼,然后再要你定義 localhost.p12 的密碼。localhost.p12 這個(gè)密碼一定要記住,因?yàn)樵?Spring 的配置文件中有用到。

另外需要特別注意的是, Spring 配置文件中 server.ssl.keyAlias 的值,就是命令中的localhost(-name "localhost") 。

Spring Boot開啟https

把 localhost.p12 復(fù)制到 resources 目錄下之后編譯項(xiàng)目

修改application.properties文件

 
 
 
 
    
  
  
  
  
  1. server.port=8888 
    2. 
  
  
  
  
  2. server.ssl.key-store=classpath:localhost.p12 
    3. 
  
  
  
  
  3. server.ssl.key-store-password=123456 
    4. 
  
  
  
  
  4. server.ssl.keyStoreType=PKCS12 
    5. 
  
  
  
  
  5. server.ssl.keyAlias=localhost 
    6.

 在 chrome://settings/security 中,選擇 受信任的根證書頒發(fā)機(jī)構(gòu) 導(dǎo)入 rootCA.crt

 這時(shí)啟動(dòng)項(xiàng)目,就可以使用 https 訪問網(wǎng)站了,而且瀏覽器提示網(wǎng)站時(shí)安全的。

 創(chuàng)建信托證書

信托證書中會存有 信任的外部實(shí)體的證書

這里我們只要將 rootCA.crt 添加進(jìn)去就可以了

 
 
 
 
    
  
  
  
  
  1. keytool -import -trustcacerts -noprompt -alias ca -ext san=dns:localhost,ip:127.0.0.1 -file rootCA.crt -keystore localhost.jks 
    2.

然后將 localhost.jks 添加到項(xiàng)目中,并修改配置文件

application.properties添加:

 
 
 
 
    
  
  
  
  
  1. server.ssl.trust-store=classpath:localhost.jks 
    2. 
  
  
  
  
  2. server.ssl.trust-store-password=123456 
    3. 
  
  
  
  
  3. server.ssl.client-auth=need 
    4.

 注意:此時(shí)由于添加了server.ssl.client-auth=need,因?yàn)闆]有添加個(gè)人證書,所以這個(gè)時(shí)候刷新頁面,項(xiàng)目會無法訪問,如果想要同時(shí)兼任普通登錄,可以將need改成want,但是want只會在第一次訪問頁面時(shí)才會向客戶索取個(gè)人證書

創(chuàng)建客戶端證書

現(xiàn)在創(chuàng)建一個(gè)客戶端的證書,步驟和服務(wù)端的差不多一樣。

 
 
 
 
    
  
  
  
  
  1. openssl req -new -newkey rsa:4096 -nodes -keyout shurlormes.key -out shurlormes.csr 
    2.

在生成客戶端證書時(shí),那些信息不建議跳過,因?yàn)樵诤罄m(xù)的步驟中,會獲取其中的信息用以登錄。比如我在 Common Name 處填寫的信息,就是等下用來登錄的用戶名。

接下來用 RootCA 給客戶端證書簽名

 
 
 
 
    
  
  
  
  
  1. openssl x509 -req -CA rootCA.crt -CAkey rootCA.key -in shurlormes.csr -out shurlormes.crt -days 365 -CAcreateserial 
    2.

然后再將簽名證書和私鑰打包到 PKCS 文件中

 
 
 
 
    
  
  
  
  
  1. openssl pkcs12 -export -out shurlormes.p12 -name "shurlormes" -inkey shurlormes.key -in shurlormes.crt 
    2.

最后在 chrome://settings/security 選擇 個(gè)人證書 把 shurlormes.p12 導(dǎo)入,期間會要你輸入它的密碼。

這時(shí)候刷新頁面,瀏覽器就會彈出一個(gè)對話框,讓你選擇個(gè)人認(rèn)證了。

Spring Boot獲取個(gè)人證書信息

恭喜你,到了這一步, pki 登錄已經(jīng)完成了 99% 了。接下來就是通過 request 獲取證書信息,然后處理字符串,拿到用戶名做登錄即可。

 
 
 
 
    
  
  
  
  
  1. @RequestMapping("/login") 
    2. 
  
  
  
  
  2. public String login(HttpServletRequest request) { 
    3. 
  
  
  
  
  3.     X509Certificate[] certs = (X509Certificate[]) request.getAttribute("javax.servlet.request.X509Certificate"); 
    4. 
  
  
  
  
  4.     if(certs != null) { 
    5. 
  
  
  
  
  5.         X509Certificate gaX509Cert = certs[0]; 
    6. 
  
  
  
  
  6.         String dn = gaX509Cert.getSubjectDN().toString(); 
    7. 
  
  
  
  
  7.         System.out.println("個(gè)人證書信息:" + dn); 
    8. 
  
  
  
  
  8.         String username = ""; 
    9. 
  
  
  
  
  9.         String[] dnArray = dn.split(","); 
    10. 
  
  
  
  
  10.         for (String dnItem : dnArray) { 
    11. 
  
  
  
  
  11.             String[] dnInfo = dnItem.split("="); 
    12. 
  
  
  
  
  12.             String key = dnInfo[0]; 
    13. 
  
  
  
  
  13.             String value = dnInfo[1]; 
    14. 
  
  
  
  
  14.             if("cn".equalsIgnoreCase(key.trim())) { 
    15. 
  
  
  
  
  15.                 username = value; 
    16. 
  
  
  
  
  16.                 break; 
    17. 
  
  
  
  
  17.             } 
    18. 
  
  
  
  
  18.         } 
    19. 
  
  
  
  
  19.         System.out.println("用戶名:" + username); 
    20. 
  
  
  
  
  20.  
    21. 
  
  
  
  
  21.         if(!StringUtils.isEmpty(username)) { 
    22. 
  
  
  
  
  22.             SecurityContext securityContext = SecurityContextHolder.getContext(); 
    23. 
  
  
  
  
  23.             User userDetails = new User(username, "", Collections.EMPTY_LIST); 
    24. 
  
  
  
  
  24.             securityContext.setAuthentication(new UsernamePasswordAuthenticationToken(userDetails, "", Collections.EMPTY_LIST)); 
    25. 
  
  
  
  
  25.             return "redirect:/"; 
    26. 
  
  
  
  
  26.         } 
    27. 
  
  
  
  
  27.  
    28. 
  
  
  
  
  28.     } 
    29. 
  
  
  
  
  29.     return "login"; 
    30. 
  
  
  
  
    31.

Spring Boot 同時(shí)開啟http和https

相信大家都發(fā)現(xiàn)了,現(xiàn)在項(xiàng)目只能通過 https 訪問,如果用 http 訪問瀏覽器直接返回 Bad request 了。

要同時(shí)開啟 https 和 http ,只需添加一個(gè) TomcatConfig 就可以

 
 
 
 
    
  
  
  
  
  1. @Configuration 
    2. 
  
  
  
  
  2. public class TomcatHttpConfig { 
    3. 
  
  
  
  
  3.     @Bean 
    4. 
  
  
  
  
  4.     public TomcatServletWebServerFactory servletContainer() { 
    5. 
  
  
  
  
  5.         TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory(); 
    6. 
  
  
  
  
  6.         tomcat.addAdditionalTomcatConnectors(initiateHttpConnector()); 
    7. 
  
  
  
  
  7.         return tomcat; 
    8. 
  
  
  
  
  8.     } 
    9. 
  
  
  
  
  9.  
    10. 
  
  
  
  
  10.     private Connector initiateHttpConnector() { 
    11. 
  
  
  
  
  11.         Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol"); 
    12. 
  
  
  
  
  12.         connector.setScheme("http"); 
    13. 
  
  
  
  
  13.         connector.setPort(9999); 
    14. 
  
  
  
  
  14.         connector.setSecure(false); 
    15. 
  
  
  
  
  15.         return connector; 
    16. 
  
  
  
  
  16.     } 
    17. 
  
  
  
  
    18.

 這時(shí)候啟動(dòng)項(xiàng)目,注意看控制臺打印的信息。

說明已經(jīng)成功啟動(dòng) http 在端口 9999 , https 在 8888 ,頁面也可以成功訪問了。

Spring Boot http自動(dòng)跳轉(zhuǎn)https

上面我們已經(jīng)可以同時(shí)訪問 htt p和 https ,但如果我要訪問 http 的時(shí)候,自動(dòng)跳轉(zhuǎn)的https 呢?

只需要在上面的基礎(chǔ)上稍微改改就可以了。

 
 
 
 
    
  
  
  
  
  1. @Configuration 
    2. 
  
  
  
  
  2. public class TomcatHttpConfig { 
    3. 
  
  
  
  
  3.     @Bean 
    4. 
  
  
  
  
  4.     public TomcatServletWebServerFactory servletContainer() { 
    5. 
  
  
  
  
  5.         TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() { 
    6. 
  
  
  
  
  6.             @Override 
    7. 
  
  
  
  
  7.             protected void postProcessContext(Context context) { 
    8. 
  
  
  
  
  8.                 SecurityConstraint securityConstraint = new SecurityConstraint(); 
    9. 
  
  
  
  
  9.                 securityConstraint.setUserConstraint("CONFIDENTIAL"); 
    10. 
  
  
  
  
  10.                 SecurityCollection collection = new SecurityCollection(); 
    11. 
  
  
  
  
  11.                 collection.addPattern("/*"); 
    12. 
  
  
  
  
  12.                 securityConstraint.addCollection(collection); 
    13. 
  
  
  
  
  13.                 context.addConstraint(securityConstraint); 
    14. 
  
  
  
  
  14.             } 
    15. 
  
  
  
  
  15.         }; 
    16. 
  
  
  
  
  16.         tomcat.addAdditionalTomcatConnectors(initiateHttpConnector()); 
    17. 
  
  
  
  
  17.         return tomcat; 
    18. 
  
  
  
  
  18.     } 
    19. 
  
  
  
  
  19.  
    20. 
  
  
  
  
  20.     private Connector initiateHttpConnector() { 
    21. 
  
  
  
  
  21.         Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol"); 
    22. 
  
  
  
  
  22.         connector.setScheme("http"); 
    23. 
  
  
  
  
  23.         connector.setPort(9999); 
    24. 
  
  
  
  
  24.         connector.setSecure(false); 
    25. 
  
  
  
  
  25.         connector.setRedirectPort(8888); 
    26. 
  
  
  
  
  26.         return connector; 
    27. 
  
  
  
  
  27.     } 
    28. 
  
  
  
  
    29.

 踩坑總結(jié)

把服務(wù)端證書 p12 文件添加到項(xiàng)目 resources 后,記得 rebuild 項(xiàng)目,否則 target的 classes 中沒有生成證書文件,會導(dǎo)致項(xiàng)目啟動(dòng)失敗。

application.properties 中的 server.ssl.keyAlias 需要和生成 p12 文件的 -name一致,否則也會導(dǎo)致項(xiàng)目無法啟動(dòng)。

如果要指定域名,需要修改 conf.confg 中的 DNS.1 ,否則瀏覽器會提示網(wǎng)站不安全。


分享文章:用SpringBoot實(shí)現(xiàn)httpsssl免密登錄
本文來源:http://www.5511xx.com/article/copegdh.html