Springboot整合https原來這麼簡單
<div>
1 簡介
HTTP 是不安全的,我們需要給它套上 SSL ,讓它變成 HTTPS 。本文章將用實例介紹 Springboot 整合 HTTPS 。
2 密碼學基礎
要談https 就要談 Security ,自然就要談安全;談及安全,就必然涉及密碼學的一些知識。
2.1 密碼體制
要建立一個密碼體制,需要由五個空間組成,分別是:-
明文M:加密前或解密後的信息;
-
密文C:明文加密後的信息;
-
密鑰K:由加密密鑰和解密密鑰組成;
-
加密E:從明文到密文的變換;
-
解密D:從密文到明文的變換。
2.2 兩種加密方式
2.2.1 對稱加密
對稱加密,或者也叫單鑰加密,是指加密密鑰和解密密鑰相同(或者容易由一個計算出另一個)的加密方式。 對稱加密的主要優勢是:加密、解密運算速度快,效率高; 侷限性:密鑰分發複雜,密鑰管理困難,保密通信系統開放性差,數字簽名; 代表算法:DES算法、AES算法;舉個小例子:
明文爲48,加密算法f(x)=8x+71, 則密文C=8*48+71=455 則解密算法爲f(x)=(x-71)/8; 則解密後的明文M=(455-71)/8=48;
2.2.2 非對稱加密
非對稱加密是指加密和解密分別使用不同的密鑰,並且不能由加密密鑰推導出解密密鑰的加密方式。 主要優勢:密鑰分配簡單,便於管理,系統開放性好,可以實現數字簽名; 侷限性:加密、解密運算效率較低; 代表算法:RSA算法、ECC算法;舉個大例子:
步驟如下:| Step | Description | Formula | Note |
|---|---|---|---|
| 1 | 找出兩個質數 | P、Q | |
| 2 | 計算公共模數 | N=P*Q | |
| 3 | 計算歐拉函數 | φ(N) = (P-1)(Q-1) | |
| 4 | 計算公鑰E | 1 < E < φ(N) | E的取值必須是整數 E 和 φ(N) 必須是互質數 |
| 5 | 計算私鑰D | E * D % φ(N) = 1 | |
| 6 | 加密 | C = M^E mod N | C:密文 M:明文 |
| 7 | 解密 | M =C^D mod N | C:密文 M:明文 |
1.找出兩個質數 隨便找兩個質數,我們找P=5,Q=11。 2.計算公共模數 公共模數N=P*Q=5*11=55 3.計算歐拉函數 φ(N) = (P-1)(Q-1)=4*10=40 4.計算公鑰E 1 < E < φ(N),我們取E=13 5.計算私鑰D (13*D)%40=1,則取D=37 6.加密 假設要傳輸的明文爲8,使用公鑰(E,N)=(13,55)加密 通過公式C = M^E mod N=8^13%55=28 7.解密 使用密鑰(D,N)=(37,55)解密 解密M =C^D mod N=28^37%55=8 另外,我們可以用私鑰加密,公鑰解密, 如明文爲2,則用私鑰(37,55)加密密文C=(2^37)%55=7 用公鑰(13,55)解密M=(7^13)%55=2。至此,整個非對稱加密過程演示了一遍,希望大家能理解,特別是非對稱加密,因爲 HTTPS 使用的是非對稱加密。實際的使用算法更復雜,密鑰長度會更大。
2.3 證書
要使用SSL,需要有證書,這個證書文件是包含公鑰密鑰,也就是非對稱加密中要使用的。 獲取證書有兩種方式:- 從**CA(Certificate Authority)**機構獲取,即客戶端會認可的證書,具有公信力;有免費也有收費的,收費的比較穩定比較安全。
- 自簽證書,自己製作證書,一般用於測試,瀏覽器不承認。
3 Springboot整合HTTPS
3.1 先讓Web跑起來
作爲一個Web應用,我們先讓它跑起來,然後再整合https 。
(1)引入Web依賴:
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency>(2)配置端口:
server.port=80(3)實現
Contrlloer :
@RestController
public class HelloController {
@GetMapping("/hello")
public String hello() {
return "Welcome to www.pkslow.com";
}
}
完成上面工作後,啓動應用即可。
訪問 http://localhost/hello 得到下面結果,說明整個Web應用起來了。
3.2 生成密鑰文件jks
通過命令行生成密鑰文件如下:keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore localhost.jks -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit命令行重要參數的意義:
-
alias:密鑰別名,可以隨便起,不衝突就行; -
keyalg:加密算法; -
keysize:密鑰長度,2048基本就不可能破解了; -
keystore:keystore的文件名; -
dname:這個很關鍵,特別是CN=後面要按正確的域名來寫; -
validity:cert的有效期;
localhost.jks 文件,把該文件放到 classpath 下即可,當然也可以放到其它位置,配置文件指定正確即可。
3.3 重新配置並重啓
按照實際情況重新配置application.properties 文件:
server.port=443 server.ssl.enabled=true server.ssl.key-store-type=jks server.ssl.key-store=classpath:localhost.jks server.ssl.key-store-password=changeit server.ssl.key-alias=localhost重啓後訪問如下:
發現有紅色警告,因爲這是自簽名的 cert ,並不被 Chrome 所認可,所以會校驗失敗。以前的 Chrome 版本只是警告,但還是可以訪問的,現在新版本的已經不能訪問了。
通過 Postman 來訪問便可:
3.4 使用PKS12格式
如果想使用 PKCS12 替換 JKS ,命令和配置可以參考下面: 生成密鑰:keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -storetype PKCS12 -keystore localhost.p12 -dname CN=localhost,OU=Test,O=pkslow,L=Guangzhou,C=CN -validity 731 -storepass changeit -keypass changeit配置文件如下:
server.port=443 server.ssl.enabled=true server.ssl.key-store-type=PKCS12 server.ssl.key-store=classpath:localhost.p12 server.ssl.key-store-password=changeit server.ssl.key-alias=localhost
總結
本文簡單介紹了一些密碼學的基礎和如何通過Springboot 整合 HTTPS 。本文詳細代碼可在 南瓜慢說 公衆號回覆< SpringbootSSLBasic >獲取。
其實, SSL 非常複雜,知識點非常多。後續文章會繼續介紹密鑰工具、重定向、 Reactive 整合、雙向驗證等。
歡迎關注 南瓜慢說 ,精彩繼續~
歡迎訪問 南瓜慢說 www.pkslow.com 獲取更多精彩文章!
歡迎關注微信公衆號< 南瓜慢說 >,將持續爲你更新...
