Springboot模拟https安全访问（使用Java提供的keytool命令生成证书）

1、SpringBoot启动时默认采用http进行通信协议定义，但是为了访问安全性，我们有时候会选择使用https进行访问。正常来讲，https的访问是需要证书的，并且为了保证这个证书的安全，一定要在项目中使用CA进行认证，需要收费的哦，证书真是一个挣钱的生意。这里只是利用Java提供的keytool命令实现证书的生成。

2、如果想要使用keytool命令生成一个证书，这里先简单学习一下如何使用此命令，如下所示：

参考：https://www.cnblogs.com/zhi-leaf/p/10418222.html

keytool -genkey -alias tomcat -keyalg RSA -keystore D:/tomcat.keystore -keypass 123456 -storepass 123456 -dname "CN=xingming,OU=danwei,O=zuzhi,L=shi,ST=sheng,C=CN"
keytool -genkey -alias tomcat -keyalg RSA -keysize 1024 -validity 365 -keystore D:/tomcat.keystore -keypass 123456 -storepass 123456 -dname "CN=xingming,OU=danwei,O=zuzhi,L=shi,ST=sheng,C=CN"

1）、-genkey 生成秘钥。
2）、-alias 别名。
3）、-keyalg 秘钥算法。
4）、-keysize 秘钥长度。
5）、-validity 有效期。
6）、-keystore 生成秘钥库的存储路径和名称。
7）、-keypass 秘钥口令。
8）、-storepass 秘钥库口令。
9）、-dname 拥有者信息，CN：姓名；OU：组织单位名称；O：组织名称；L：省/市/自治区名称；C：国家/地区代码。

如果想要，更多参数说明，执行命令：keytool -genkey -?。

3、查看证书的命令，如下所示：

keytool -list -keystore d:/tomcat.keystore -storepass 123456
keytool -list -v -keystore d:/tomcat.keystore -storepass 123456
keytool -list -rfc -keystore d:/tomcat.keystore -storepass 123456

1）、-list 列出秘钥库中的条目。
2）、-v 详细输出。
3）、-rfc 以RFC样式输出。

查看更多参数说明执行命令：keytool -list -?。

使用该命令生成证书，如下所示：

keytool -genkey -alias mytomcat -storetype PKCS12  -keyalg RSA -keysize 2048 -keystore D:/keystore.p12 -validity 3650 -keypass 123456 -dname "CN=Web Server,OU=Unit,O=Organization,L=City,S=State,C=US" -storepass 123456 

执行完成后，会生成一个名称为keystore.p12的证书文件，该证书的别名为mytomcat，访问密码为123456。 将生成的keystore.p12复制到src/main/resources目录中。

4、修改application.yml文件，配置ssl安全访问，如下所示：

# https的端口号设置为4433，由于我的443端口被占用了，这里使用4433端口号。
server.port=4433 

# keystore配置文件路径
server.ssl.key-store=classpath:keystore.p12
# keystore的类型
server.ssl.key-store-type=PKCS12
# 设置的别名
server.ssl.key-alias=mytomcat
# 访问密码,秘钥口令
server.ssl.key-password=123456
# 访问密码,秘钥库口令
server.ssl.key-store-password=123456

修改pom.xml配置文件，资源目录中增加了*.p12文件，要想让其正常执行，还需要修改resource配置，追加输出文件类型配置。

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 
    https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.5.RELEASE</version>
        <relativePath /> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>demo</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
        <maven-jar-plugin.version>3.1.1</maven-jar-plugin.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
        <resources>
            <resource>
                <directory>src/main/resources</directory>
                <includes>
                    <include>**/*.properties</include>
                    <include>**/*.yml</include>
                    <include>**/*.xml</include>
                    <include>**/*.p12</include>
                </includes>
            </resource>
        </resources>
    </build>

</project>

此时，现在的程序中配置了https支持，但考虑到用户访问时如果使用http访问，所以需要做一个Web配置，使得通过http的80端口访问的请求直接映射到https的443端口上。Spring Boot2.x 中使用TomcatServletWebServerFactory进行接口访问转发。

package com.demo.config;

import org.apache.catalina.Context;
import org.apache.catalina.connector.Connector;
import org.apache.tomcat.util.descriptor.web.SecurityCollection;
import org.apache.tomcat.util.descriptor.web.SecurityConstraint;
import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

/**
 * 此类专门用来负责http连接的相关配置
 * 
 * @author
 *
 */
@Configuration
public class HttpConnectorConfig {

    /**
     * 
     * @return
     */
    public Connector initConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        // 如果现在用户使用普通的http方式进行访问
        connector.setScheme("http");
        // 用户访问的端口号是8080
        connector.setPort(8080);
        // 如果该连接为跳转，则表示不是一个新的连接对象
        connector.setSecure(false);
        // 设置转发操作端口号
        connector.setRedirectPort(4433);
        return connector;
    }

    @Bean
    public TomcatServletWebServerFactory servletContainerFactory() {
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory() {

            /**
             * 该方法主要进行请求处理的上下文配置， 定义新的安全访问策略。
             */
            @Override
            protected void postProcessContext(Context context) {
                // 该方法主要进行请求处理的上下文配置， 定义新的安全访问策略。
                SecurityConstraint securityConstraint = new SecurityConstraint();
                // 定义用户访问约束要求
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                // 匹配所有的访问映射路径
                collection.addPattern("/*");
                // 最佳路径映射访问配置
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };

        // 连接初始化配置
        factory.addAdditionalTomcatConnectors(this.initConnector());
        return factory;
    }

}

访问http://localhost:8080/hello/world，发现会自动跳转到https://localhost:4433/hello/world，发现已经进行了请求地址转发了。