spring-boot+nginx+tomcat+ssl配置筆記

若是你的tomcat應用須要採用ssl來增強安全性，一種作法是把tomcat配置爲支持ssl，另外一種作法是用nginx反向代理tomcat，而後把nginx配置爲https訪問，而且nginx與tomcat之間配置爲普通的http協議便可。下面說的是後一種方法，同時假定咱們基於spring-boot來開發應用。

1、配置nginx：

server {
    listen 80;
    listen 443 ssl;
    server_name localhost;

    ssl_certificate server.crt;
    ssl_certificate_key server.key;

    location / {
        proxy_pass http://localhost:8080;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Port $server_port;
    }
}

這裏有三點須要說明：

一、nginx容許一個server同時支持http和https兩種協議。這裏咱們分別定義了http:80和https:443兩個協議和端口號。若是你不須要http:80則可刪除那行。

二、nginx收到請求後將經過http協議轉發給tomcat。因爲nginx和tomcat在同一臺機裏所以nginx和tomcat之間無需使用https協議。

三、因爲對tomcat而言收到的是普通的http請求，所以當tomcat裏的應用發生轉向請求時將轉向爲http而非https，爲此咱們須要告訴tomcat已被https代理，方法是增長X-Forwared-Proto和X-Forwarded-Port兩個HTTP頭信息。

2、接着再配置tomcat。基於spring-boot開發時只需在application.properties中進行配置：

server.tomcat.remote_ip_header=x-forwarded-for
server.tomcat.protocol_header=x-forwarded-proto
server.tomcat.port-header=X-Forwarded-Port
server.use-forward-headers=true

該配置將指示tomcat從HTTP頭信息中去獲取協議信息（而非從HttpServletRequest中獲取），同時，若是你的應用還用到了spring-security則也無需再配置。

此外，因爲spring-boot足夠自動化，你也能夠把上面四行變爲兩行：

server.tomcat.protocol_header=x-forwarded-proto
server.use-forward-headers=true

下面這樣寫也能夠：

server.tomcat.remote_ip_header=x-forwarded-for
server.use-forward-headers=true

 但不能只寫一行：

server.use-forward-headers=true

具體請參見http://docs.spring.io/spring-boot/docs/1.3.0.RELEASE/reference/htmlsingle/#howto-enable-https，其中說到：

server.tomcat.remote_ip_header=x-forwarded-for
server.tomcat.protocol_header=x-forwarded-proto

The presence of either of those properties will switch on the valve

 此外，雖然咱們的tomcat被nginx反向代理了，但仍可訪問到其8080端口。爲此可在application.properties中增長一行：

server.address=127.0.0.1

這樣一來其8080端口就只能被本機訪問了，其它機器訪問不到。