Springboot怎麼整合https

1 簡介

HTTP是不安全的，我們需要在它套上SSL，讓它變成HTTPS。本文章將以實例介紹Springboot整合HTTPS。

2 密碼學基礎

要談https就要談Security，自然就要談安全；談及安全，就必然涉及密碼學的一些知識。

2.1 密碼體制

要建立一個密碼體制，需要由五個空間組成，分別是：

• 明文M：加密前或解密後的訊息；

• 密文C：明文加密後的訊息；

• 密鑰K：由加密金鑰和解密金鑰組成；

• 加密E：從明文到密文的變換；

• 解密D：從密文到明文的變換。

如圖所示：

2.2 兩種加密方式

2.2.1 對稱加密

對稱加密，或也稱為單鑰加密，是指加密金鑰和解密金鑰相同（或容易由一個計算出另一個）的加密方式。

對稱加密的主要優點是：加密、解密運算速度快，效率高；

限制：金鑰分發複雜，金鑰管理困難，保密通訊系統開放性差，數位簽名;

代表演算法：DES演算法、AES演算法；

舉個小例子：

明文为48，加密算法f(x)=8x+71，
则密文C=8*48+71=455
则解密算法为f(x)=(x-71)/8;
则解密后的明文M=(455-71)/8=48；

2.2.2 非對稱加密

#非對稱加密是指加密和解密分別使用不同的金鑰，且不能由加密金鑰推導出解密金鑰的加密方式。

主要優點：金鑰分配簡單，便於管理，系統開放性好，可實現數位簽章；

限制：加密、解密運算效率較低；

#代表演算法：RSA演算法、ECC演算法；

舉個大例子：

步驟如下：

## StepDescriptionFormulaNote1找出兩個質數P、Q#2計算公共模數#N =P*Q3#計算歐拉函數φ(N) = (P- 1)(Q-1)4計算公鑰E56##加密 C ＝ M^E mod NC：密文M：明文7解密M ＝C^ D mod NC：密文M：明文

其中，公钥＝(E , N) ，私钥＝(D, N)，对外，我们只暴露公钥。

1.找出两个质数
随便找两个质数，我们找P=5，Q=11。

2.计算公共模数
公共模数N=P*Q=5*11=55

3.计算欧拉函数
φ(N) = (P-1)(Q-1)=4*10=40

4.计算公钥E
1 <p>至此，整个非对称加密过程演示了一遍，希望大家能理解，特别是非对称加密，因为<strong>HTTPS</strong>使用的是非对称加密。实际的使用算法更复杂，密钥长度会更大。</p><h3 id="yisu3h-to139">2.3 证书</h3><p>要使用SSL，需要有证书，这个证书文件是包含公钥密钥，也就是非对称加密中要使用的。</p><p>获取证书有两种方式：</p>

• 从CA(Certificate Authority)机构获取，即客户端会认可的证书，具有公信力；有免费也有收费的，收费的比较稳定比较安全。

• 自签证书，自己制作证书，一般用于测试，浏览器不承认。

为方便起见，在本次实例中使用自签证书，两种证书整合过程并无差异。

3 Springboot整合HTTPS

3.1 先让Web跑起来

作为一个Web应用，我们先让它跑起来，然后再整合https。

（1）引入Web依赖：

<dependency>
  <groupid>org.springframework.boot</groupid>
  <artifactid>spring-boot-starter-web</artifactid></dependency>

（2）配置端口：

server.port=80

（3）实现Contrlloer：

@RestControllerpublic class HelloController {@GetMapping("/hello")public String hello() {return "Welcome to www.pkslow.com";
    }
}

完成上面工作后，启动应用即可。

访问http://localhost/hello 得到下面结果，说明整个Web应用起来了。

3.2 生成密钥文件jks

通过命令行生成密钥文件如下：

keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore localhost.jks -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit

命令行重要参数的意义：

• alias：密钥别名，可以随便起，不冲突就行；

• keyalg：加密算法；

• keysize：密钥长度，2048基本就不可能破解了；

• keystore：keystore的文件名；

• dname：这个很关键，特别是CN=后面要按正确的域名来写；

• validity：cert的有效期；

执行完以上命令后，就会生成localhost.jks文件，把该文件放到classpath下即可，当然也可以放到其它位置，配置文件指定正确即可。

3.3 重新配置并重启

按照实际情况重新配置application.properties文件：

server.port=443server.ssl.enabled=trueserver.ssl.key-store-type=jksserver.ssl.key-store=classpath:localhost.jksserver.ssl.key-store-password=changeitserver.ssl.key-alias=localhost

重启后访问如下：

发现有红色警告，因为这是自签名的cert，并不被Chrome所认可，所以会校验失败。以前的Chrome版本只是警告，但还是可以访问的，现在新版本的已经不能访问了。

通过Postman来访问便可：

3.4 使用PKS12格式

如果想使用PKCS12替换JKS，命令和配置可以参考下面：

生成密钥：

keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -storetype PKCS12 -keystore localhost.p12 -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit

配置文件如下：

server.port=443server.ssl.enabled=trueserver.ssl.key-store-type=PKCS12server.ssl.key-store=classpath:localhost.p12server.ssl.key-store-password=changeitserver.ssl.key-alias=localhost

	##1	E的取值必須是整數E 與φ(N) 必須是互質數
#計算私鑰D	E * D % φ(N) = 1

以上是Springboot怎麼整合https的詳細內容。更多資訊請關注PHP中文網其他相關文章！