Springboot整合https原來這麼簡單

1 簡介

HTTP是不安全的，咱們須要給它套上SSL，讓它變成HTTPS。本文章將用實例介紹Springboot整合HTTPS。

2 密碼學基礎

要談https就要談Security，天然就要談安全；談及安全，就必然涉及密碼學的一些知識。

2.1 密碼體制

要創建一個密碼體制，須要由五個空間組成，分別是：

• 明文M：加密前或解密後的信息；
• 密文C：明文加密後的信息；
• 密鑰K：由加密密鑰和解密密鑰組成；
• 加密E：從明文到密文的變換；
• 解密D：從密文到明文的變換。

如圖所示：

2.2 兩種加密方式

2.2.1 對稱加密

對稱加密，或者也叫單鑰加密，是指加密密鑰和解密密鑰相同（或者容易由一個計算出另外一個）的加密方式。

對稱加密的主要優點是：加密、解密運算速度快，效率高；

侷限性：密鑰分發複雜，密鑰管理困難，保密通訊系統開放性差，數字簽名；

表明算法：DES算法、AES算法；

舉個小例子：

明文爲48，加密算法f(x)=8x+71，
則密文C=8*48+71=455
則解密算法爲f(x)=(x-71)/8;
則解密後的明文M=(455-71)/8=48；

2.2.2 非對稱加密

非對稱加密是指加密和解密分別使用不一樣的密鑰，而且不能由加密密鑰推導出解密密鑰的加密方式。

主要優點：密鑰分配簡單，便於管理，系統開放性好，能夠實現數字簽名；

侷限性：加密、解密運算效率較低；

表明算法：RSA算法、ECC算法；

舉個大例子：

步驟以下：

Step	Description	Formula	Note
1	找出兩個質數	P、Q
2	計算公共模數	N=P*Q
3	計算歐拉函數	φ(N) = (P-1)(Q-1)
4	計算公鑰E	1 < E < φ(N)	E的取值必須是整數 E 和 φ(N) 必須是互質數
5	計算私鑰D	E * D % φ(N) = 1
6	加密	C ＝ M^E mod N	C：密文 M：明文
7	解密	M ＝C^D mod N	C：密文 M：明文

其中，公鑰＝(E , N) ，私鑰＝(D, N)，對外，咱們只暴露公鑰。

1.找出兩個質數
隨便找兩個質數，咱們找P=5，Q=11。

2.計算公共模數
公共模數N=P*Q=5*11=55

3.計算歐拉函數
φ(N) = (P-1)(Q-1)=4*10=40

4.計算公鑰E
1 < E < φ(N)，咱們取E=13

5.計算私鑰D
(13*D)%40=1，則取D=37

6.加密
假設要傳輸的明文爲8，使用公鑰(E,N)=(13,55)加密
經過公式C ＝ M^E mod N=8^13%55=28

7.解密
使用密鑰(D,N)=(37,55)解密
解密M ＝C^D mod N=28^37%55=8


另外，咱們能夠用私鑰加密，公鑰解密，
如明文爲2，則用私鑰(37,55)加密密文C=(2^37)%55=7
用公鑰(13,55)解密M=(7^13)%55=2。

至此，整個非對稱加密過程演示了一遍，但願你們能理解，特別是非對稱加密，由於HTTPS使用的是非對稱加密。實際的使用算法更復雜，密鑰長度會更大。

2.3 證書

要使用SSL，須要有證書，這個證書文件是包含公鑰密鑰，也就是非對稱加密中要使用的。

獲取證書有兩種方式：

• 從CA(Certificate Authority)機構獲取，即客戶端會承認的證書，具備公信力；有免費也有收費的，收費的比較穩定比較安全。
• 自簽證書，本身製做證書，通常用於測試，瀏覽器不認可。

爲方便起見，在本次實例中使用自簽證書，兩種證書整合過程並沒有差別。

3 Springboot整合HTTPS

3.1 先讓Web跑起來

做爲一個Web應用，咱們先讓它跑起來，而後再整合https。

（1）引入Web依賴：

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-web</artifactId>
</dependency>

（2）配置端口：

server.port=80

（3）實現Contrlloer：

@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello() {
        return "Welcome to www.pkslow.com";
    }
}

完成上面工做後，啓動應用便可。

訪問http://localhost/hello 獲得下面結果，說明整個Web應用起來了。

3.2 生成密鑰文件jks

經過命令行生成密鑰文件以下：

keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore localhost.jks -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit

命令行重要參數的意義：

• alias：密鑰別名，能夠隨便起，不衝突就行；
• keyalg：加密算法；
• keysize：密鑰長度，2048基本就不可能破解了；
• keystore：keystore的文件名；
• dname：這個很關鍵，特別是CN=後面要按正確的域名來寫；
• validity：cert的有效期；

執行完以上命令後，就會生成localhost.jks文件，把該文件放到classpath下便可，固然也能夠放到其它位置，配置文件指定正確便可。

3.3 從新配置並重啓

按照實際狀況從新配置application.properties文件：

server.port=443

server.ssl.enabled=true
server.ssl.key-store-type=jks
server.ssl.key-store=classpath:localhost.jks
server.ssl.key-store-password=changeit
server.ssl.key-alias=localhost

重啓後訪問以下：

發現有紅色警告，由於這是自簽名的cert，並不被Chrome所承認，因此會校驗失敗。之前的Chrome版本只是警告，但仍是能夠訪問的，如今新版本的已經不能訪問了。

經過Postman來訪問即可：

3.4 使用PKS12格式

若是想使用PKCS12替換JKS，命令和配置能夠參考下面：

生成密鑰：

keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -storetype PKCS12 -keystore localhost.p12 -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit

配置文件以下：

server.port=443

server.ssl.enabled=true
server.ssl.key-store-type=PKCS12
server.ssl.key-store=classpath:localhost.p12
server.ssl.key-store-password=changeit
server.ssl.key-alias=localhost

總結

本文簡單介紹了一些密碼學的基礎和如何經過Springboot整合HTTPS。本文詳細代碼可在南瓜慢說公衆號回覆<SpringbootSSLBasic>獲取。

其實，SSL很是複雜，知識點很是多。後續文章會繼續介紹密鑰工具、重定向、Reactive整合、雙向驗證等。

---

歡迎訪問南瓜慢說 www.pkslow.com獲取更多精彩文章！

歡迎關注微信公衆號<南瓜慢說>，將持續爲你更新...

多讀書，多分享；多寫做，多整理。