API安全(七)-https
1、为什么要使用https
以用户注册为例,通过数据校验,可以保证用户传给我们的密码是完整有效的。数据进来之后,通过我们的处理,存放到数据库中的密码是经过加密的,也是安全的。但是还有一点,就是用户的请求在到达我们应用之前的一个安全,怎么来保证?用户注册的请求,在到达服务器之前,就被别人给截获了。用户名和密码被别人截获了,实际上我们应用程序后面做什么都没用了,因为别人已经知道了用户名和密码了。要保证者之间的安全要使用https。
2、什么是https
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面 。
3、https主要干了什么
3.1、客户端和服务端在传输数据之前,会对双方进行身份认证 ,认证成功建立连接。
3.2、数据传输的机密性,一旦安全连接建立以后,在传输的过程中,会对数据进行加密,那么就算在中间拿到了https传输的数据,也都是经过加密的。
4、SpringBoot使用https
4.1、使用java的keytool生成自签证书
使用以下命令生成自签证书
4.2、将证书放到resources目录下
4.3、修改application.yml配置文件
server: port: 8443 ssl: key-store: classpath:cfq.key key-store-password: 123456 key-password: 123456
4.4、启动项目,看控制台打印,已经是https启动了
访问https://127.0.0.1:8443/users/40,因为是我们自签的证书,所以要自己点击高级,点击接收风险并继续,会弹出认证框,输入用户名密码,可以正常通过https访问
5、Springboot同时支持https和http
SpringBoot设置了https,就不用http访问了,会直接拒绝掉,如果想支持http和https的话,要进行一下配置
5.1、配置文件中,自定义http端口
http:
port: 9090
5.2、启动类配置如下
/** * @author caofanqi * @date 2020/1/20 13:00 */ @SpringBootApplication public class UserApiApplication { @Value("${http.port}") private Integer port; public static void main(String[] args) { SpringApplication.run(UserApiApplication.class, args); } @Bean public ServletWebServerFactory servletContainer() { TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory(); tomcat.addAdditionalTomcatConnectors(createStandardConnector()); return tomcat; } private Connector createStandardConnector() { Connector connector = new Connector(TomcatServletWebServerFactory.DEFAULT_PROTOCOL); connector.setPort(port); return connector; } }
5.3、启动项目,看控制台打印,已经是https与http启动了
5.4、测试通过 https://127.0.0.1:8443/users/40 与 http://127.0.0.1:9090/users/40都可进行访问
6、Springboot同时支持http强制跳转https
修改启动类配置如下
/** * @author caofanqi * @date 2020/1/20 13:00 */ @SpringBootApplication public class UserApiApplication { @Value("${http.port}") private Integer port; @Resource private ServerProperties serverProperties; public static void main(String[] args) { SpringApplication.run(UserApiApplication.class, args); } @Bean public ServletWebServerFactory servletContainer() { TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() { @Override protected void postProcessContext(Context context) { // 强制使用https SecurityConstraint constraint = new SecurityConstraint(); constraint.setUserConstraint("CONFIDENTIAL"); SecurityCollection collection = new SecurityCollection(); collection.addPattern("/*"); constraint.addCollection(collection); context.addConstraint(constraint); } }; //添加http tomcat.addAdditionalTomcatConnectors(createStandardConnector()); return tomcat; } /** * 配置http */ private Connector createStandardConnector() { Connector connector = new Connector(TomcatServletWebServerFactory.DEFAULT_PROTOCOL); connector.setPort(port); //http重定向到https时的https端口号 connector.setRedirectPort(serverProperties.getPort()); return connector; } }
这时访问http://127.0.0.1:9090/users/40会强制跳转为https://127.0.0.1:8443/users/40
项目源码:https://github.com/caofanqi/study-security/tree/dev-https