redirect跳转https变为http问题的深入思考【转】
背景
服务部署以及跳转展示如下:
用户https请求通过阿里云负载通过http到指定应用,应用返回跳转路径(状态为302),但跳转路径为http(不为https),所以访问不了
2.1 跳转伪代码:
// ModelAndView
mv.setViewName(WebCst.REDIRECT + "/admin/sso/login");
1
2
2.2 浏览器跳转截图
结论总结
用nginx负载返回给浏览器的Location为https是因为nginx做了处理,关键配置见下
proxy_set_header Host $host;
proxy_redirect http:// https://;
1
2
1.1 用arthas的trace命令观察线上,应用直接返回的Location为http://localhost:8232/exp-admin/admin/sso/login
watch org.apache.catalina.connector.Response toAbsolute -x 2
1
将nginx替换成SLB后,返回给浏览器的Loaction变为http是因为SLB缺少相应的配置
2.1 SLB相关配置:https://help.aliyun.com/document_detail/97646.html
跳转的Location是如何生成的
后台是以springboot进行开发的,下面的分析都是基于springboot方式进行
先展示一下springmvc的工作原理
2.1 我们跳转设置为:mv.setViewName(WebCst.REDIRECT + “/admin/sso/login”); 结合上图,猜测根据视图进行跳转
2.2 视图解析器ContentNegotiatingViewResolver通过resolveViewName解析视图,得到跳转视图:RedirectView,调用其render进行跳转
以RedirectView#render进行跳转分析
3.1 下图显示以是否兼容http1.0(http10Compatible) 进行区分获取Location
(1)默认是兼容http1.0,故response.sendRedirect(encodedURL);
(2)response.sendRedirect(encodedURL)最终会触发到tomcat的org.apache.catalina.connector.Response的sendRedirect方法
public void sendRedirect(String location, int status) throws IOException {
locationUri = toAbsolute(location);
setStatus(status);
setHeader("Location", locationUri); //设置跳转的location
}
1
2
3
4
5
3.2 跳转Location生成的入口:org.apache.catalina.connector.Response#toAbsolute
// 从request中获取协议、IP、端口信息,然后和设置的相对路径拼接起来
protected String toAbsolute(String location) {
String scheme = request.getScheme();
String name = request.getServerName();
int port = request.getServerPort();
redirectURLCC.append(scheme, 0, scheme.length());
redirectURLCC.append("://", 0, 3);
redirectURLCC.append(name, 0, name.length());
if ((scheme.equals("http") && port != 80)
|| (scheme.equals("https") && port != 443)) {
redirectURLCC.append(':');
String portS = port + "";
redirectURLCC.append(portS, 0, portS.length());
}
redirectURLCC.append(location, 0, location.length());
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Request中协议信息在哪生成
根据调用栈发现,在ConnectionHandler处理连接时,根据SocketEvent进行区别处理
在Http11Processor处理OPEN_READ事件时会对请求进行预处理
public SocketState service(SocketWrapperBase<?> socketWrapper)
throws IOException {
prepareRequestProtocol(); //设置为http1.1
prepareRequest(); //处理协议(http或者https)
getAdapter().service(request, response); //调用后面Dispatcher
}
在prepareRequest判断是否开启SSL,如果开启则为https
private void prepareRequest() throws IOException {
if (protocol.isSSLEnabled()) {
request.scheme().setString("https");
}
}
nginx对跳转的设置
nginx官网对跳转描述:https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_redirect
设置在代理服务器响应的“Location” 头字段中更改的文本。
2.1 假设代理服务器返回头字段 “ Location: http://localhost:8000/two/some/uri/”。该指令proxy_redirect http://localhost:8000/two/ http://frontend/one/; 将此字符串重写为“ Location: http://frontend/one/some/uri/”。
2.2 在可以正常跳转的nginx上的配置为如下,将http转换成Https
proxy_set_header Host $host;
proxy_redirect http:// https://;
本地应用SSL配置:https://zhuanlan.zhihu.com/p/31385073
#https端口号.
server.port: 443
#证书的路径.
server.ssl.key-store: tomcat.keystore
#证书密码,请修改为您自己证书的密码.
server.ssl.key-store-password: 123456
#秘钥库类型
server.ssl.keyStoreType: PKCS12
#证书别名
server.ssl.keyAlias: tomcat
转自
redirect跳转https变为http问题的深入思考-CSDN博客
https://blog.csdn.net/weixin_40803011/article/details/121560609