HTTPS加密通信详解及在Spring Boot中的实现

news2025/6/5 0:19:09

HTTPS(Hyper Text Transfer Protocol Secure)是HTTP的安全版本,通过SSL/TLS协议为通讯提供加密、身份验证和数据完整性保护。

一、HTTPS核心原理

1.加密流程概述
  1. 客户端发起HTTPS请求(连接到服务器443端口)
  2. 服务器返回数字证书(包含公钥)
  3. 客户端验证证书(检查颁发机构、有效期等)
  4. 密钥交换(对过非对称加密协商对称密钥)
  5. 加密通信(使用对称密钥加密数据传输)
2.加密技术组合
技术类型作用典型算法
非对称加密身份验证和密钥交换RSA、ECC、DH
对称加密加密实际传输数据AES、3DES、ChaCha20
哈希算法保证数据完整性SHA-256、SHA-3
数字证书验证服务器身份X.509标准

二、证书体系详解

1、证书类型对比
类型验证级别颁发速度价格适用场景
DV证书域名验证分钟级免费-低价个人网站、测试环境
OV证书组织验证1-3天中档企业官网
EV证书扩展验证3-7天高价金融、电商等高安全需求
自签名证书无第三方验证即时免费内网、开发环境
2. 证书获取方式
  1. 购买商业证书(推荐生产环境使用)
    • 主流CA机构:DigiCert、Sectigo、GlobalSign
    • 云服务商提供:AWS ACM、阿里云SSL证书
  2. 免费证书(适合中小项目)
    • Let’s Encrypt(90天有效期,需自动续期)
    • Cloudflare提供的边缘证书
  3. 自签名证书(开发测试用)
# 使用OpenSSL生成
openssl req -x509 -newkey rsa:4096 -nodes \
  -keyout server.key -out server.crt \
  -days 365 -subj "/CN=yourdomain.com"

三、Spring Boot配置HTTPS

1. 基础配置步骤
1.1 准备证书文件

将证书(.crt或.pem)和私钥(.key)文件放入resources/ssl/目录

1.2 配置application.yml
server:
  port: 443
  ssl:
    enabled: true
    key-store: classpath:ssl/keystore.p12
    key-store-password: yourpassword
    key-store-type: PKCS12
    key-alias: tomcat
    protocol: TLS
    enabled-protocols: TLSv1.2,TLSv1.3
    ciphers: TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256...
1.3 强制HTTP跳转HTTPS(可选)
@Configuration
public class HttpsConfig {
    
    @Bean
    public ServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        tomcat.addAdditionalTomcatConnectors(redirectConnector());
        return tomcat;
    }
    
    private Connector redirectConnector() {
        Connector connector = new Connector("org.apache.coyote.http11.Http11NioProtocol");
        connector.setScheme("http");
        connector.setPort(8080);
        connector.setSecure(false);
        connector.setRedirectPort(443);
        return connector;
    }
}
2. 高级安全配置
2.1 启用HSTS
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .headers()
            .httpStrictTransportSecurity()
            .includeSubDomains(true)
            .maxAgeInSeconds(31536000); // 1年
    }
}
2.2 证书自动续期(Let’s Encrypt)
@Scheduled(cron = "0 0 3 * * ?") // 每天凌晨3点检查
public void renewCertificate() {
    try {
        Process process = Runtime.getRuntime().exec("certbot renew --quiet");
        int exitCode = process.waitFor();
        if (exitCode == 0) {
            logger.info("证书续期成功");
            // 重新加载证书
            ((TomcatWebServer) webServer).getTomcat().getConnector().reload();
        }
    } catch (Exception e) {
        logger.error("证书续期失败", e);
    }
}

四、HTTPS性能优化

1. 协议与算法选择
server:
  ssl:
    enabled-protocols: TLSv1.3 # 优先使用TLS 1.3
    ciphers: 
      - TLS_AES_256_GCM_SHA384       # TLS 1.3
      - TLS_CHACHA20_POLY1305_SHA256 # 移动设备优化
      - TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      - TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
2. 会话恢复技术
@Bean
public WebServerFactoryCustomizer<TomcatServletWebServerFactory> tomcatCustomizer() {
    return factory -> factory.addConnectorCustomizers(connector -> {
        connector.setProperty("sslEnabledProtocols", "TLSv1.2,TLSv1.3");
        connector.setProperty("sslSessionTimeout", "3600"); // 1小时会话缓存
        connector.setProperty("sslSessionCacheSize", "20480"); // 缓存大小
    });
}
3. OCSP Stapling配置
# 生成OCSP响应文件
openssl ocsp -issuer chain.pem -cert server.crt \
  -url http://ocsp.digicert.com -respout ocsp.der

# Nginx配置示例(Spring Boot需通过前置代理实现)
ssl_stapling on;
ssl_stapling_verify on;
ssl_trusted_certificate /path/to/chain.pem;

五、常见问题排查

1. 证书链不完整

症状:浏览器显示"证书不受信任"
解决:确保包含中间证书

cat server.crt intermediate.crt > fullchain.crt
2. 混合内容警告

症状:HTTPS页面加载HTTP资源
解决

  • 使用内容安全策略(CSP)
<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
  • 或使用协议相对URL://example.com/resource.js
3. SSL握手失败

诊断命令

openssl s_client -connect example.com:443 -servername example.com -tlsextdebug -showcerts

六、安全加固建议

  1. 禁用弱协议和算法

    server:
  ssl:
    enabled-protocols: TLSv1.2,TLSv1.3
    ciphers: "HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK"

  2. 启用证书透明度(CT)

    @Bean
public WebServerFactoryCustomizer<TomcatServletWebServerFactory> ctEnforcer() {
    return factory -> factory.addContextCustomizers(context -> {
        context.addParameter("certificateTransparency", "true");
    });
}

  3. 定期轮换密钥

    # 生成新密钥对
openssl ecparam -genkey -name prime256v1 -out newkey.pem

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2396907.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【第16届蓝桥杯 | 软件赛】CB组省赛第二场

【第16届蓝桥杯 | 软件赛】CB组省赛第二场

个人主页&#xff1a;Guiat 归属专栏&#xff1a;算法竞赛 文章目录 A. 密密摆放&#xff08;5分填空题&#xff09;B. 脉冲强度之和&#xff08;5分填空题&#xff09;C. 25 之和D. 旗帜E. 数列差分F. 树上寻宝G. 翻转硬币H. 破解信息 正文 总共8道题。 A. 密密摆放&#xff0…
阅读更多...
AR/MR实时光照阴影开发教程

AR/MR实时光照阴影开发教程

一、效果演示 1、PICO4 Ultra MR 发光的球 2、AR实时光照 二、实现原理 PICO4 Ultra MR开发时&#xff0c;通过空间网格能力扫描周围环境&#xff0c;然后将扫描到的环境网格材质替换为一个透明材质并停止扫描&#xff1b;基于Google ARCore XR Plugin和ARFoundation进行安卓手…
阅读更多...
【汽车电子入门】一文了解LIN总线

【汽车电子入门】一文了解LIN总线

前言&#xff1a;LIN&#xff08;Local Interconnect Network&#xff09;总线&#xff0c;也就是局域互联网的意思&#xff0c;它的出现晚于CAN总线&#xff0c;于20世纪90年代末被摩托罗拉、宝马、奥迪、戴姆勒、大众以及沃尔沃等多家公司联合开发&#xff0c;其目的是提供一…
阅读更多...
【笔记】为 Python 项目安装图像处理与科学计算依赖(MINGW64 环境)

【笔记】为 Python 项目安装图像处理与科学计算依赖(MINGW64 环境)

&#x1f4dd; 为 Python 项目安装图像处理与科学计算依赖&#xff08;MINGW64 环境&#xff09; &#x1f3af; 安装目的说明 本次安装是为了在 MSYS2 的 MINGW64 工具链环境中&#xff0c;搭建一个完整的 Python 图像处理和科学计算开发环境。 主要目的是支持以下类型的 Pyth…
阅读更多...
智能守护电网安全:探秘输电线路测温装置的科技力量

智能守护电网安全:探秘输电线路测温装置的科技力量

在现代电力网络的庞大版图中&#xff0c;输电线路如同一条条 “电力血管”&#xff0c;日夜不息地输送着能量。然而&#xff0c;随着电网负荷不断增加&#xff0c;长期暴露在户外的线路&#xff0c;其线夹与导线在电流热效应影响下&#xff0c;极易出现温度异常。每年因线路过热…
阅读更多...
【Hot 100】118. 杨辉三角

【Hot 100】118. 杨辉三角

目录 引言杨辉三角我的解题代码优化优化说明 &#x1f64b;‍♂️ 作者&#xff1a;海码007&#x1f4dc; 专栏&#xff1a;算法专栏&#x1f4a5; 标题&#xff1a;【Hot 100】118. 杨辉三角❣️ 寄语&#xff1a;书到用时方恨少&#xff0c;事非经过不知难&#xff01; 引言 …
阅读更多...
useMemo useCallback 自定义hook

useMemo useCallback 自定义hook

useMemo & useCallback & 自定义hook useMemo 仅当依赖项发生变化的时候&#xff0c;才去重新计算&#xff1b;其他状态变化时则不去做不必要的计算。 useCallback 缓存函数。但是使用注意&#x1f4e2; &#xff0c;useCallback没有特别明显的优化。 *合适的场景——父…
阅读更多...
ffmpeg 的视频格式转换 c# win10

ffmpeg 的视频格式转换 c# win10

1&#xff0c;下载ffmpeg &#xff0c;并设置环境变量。 ffmpeghttps://www.gyan.dev/ffmpeg/builds/ 2.新建.net 9.0 winform using System; using System.Diagnostics; using System.Text; using System.Windows.Forms;namespace WinFormsApp11 {public partial class Fo…
阅读更多...
【irregular swap】An Examination of Fairness of AI Models for Deepfake Detection

【irregular swap】An Examination of Fairness of AI Models for Deepfake Detection

文章目录 An Examination of Fairness of AI Models for Deepfake Detection背景points贡献深伪检测深伪检测审计评估检测器主要发现评估方法审计结果训练分布和方法偏差An Examination of Fairness of AI Models for Deepfake Detection 会议/期刊:IJCAI 2021 作者: 背景…
阅读更多...
【JAVA】注解+元注解+自定义注解(万字详解)

【JAVA】注解+元注解+自定义注解(万字详解)

&#x1f4da;博客主页&#xff1a;代码探秘者 ✨专栏&#xff1a;《JavaSe》 其他更新ing… ❤️感谢大家点赞&#x1f44d;&#x1f3fb;收藏⭐评论✍&#x1f3fb;&#xff0c;您的三连就是我持续更新的动力❤️ &#x1f64f;作者水平有限&#xff0c;欢迎各位大佬指点&…
阅读更多...
【Doris基础】Apache Doris中的Version概念解析:深入理解数据版本管理机制

【Doris基础】Apache Doris中的Version概念解析:深入理解数据版本管理机制

目录 引言 1 Version概念基础 1.1 什么是Version 1.2 Version的核心作用 1.3 Version相关核心概念 2 Version工作机制详解 2.1 Version在数据写入流程中的作用 2.2 Version在数据查询流程中的作用 2.3 Version的存储结构 3 Version的进阶特性 3.1 Version的合并与压…
阅读更多...
【图像处理基石】如何进行图像畸变校正?

【图像处理基石】如何进行图像畸变校正?

图像畸变校正常用于计算机视觉、摄影测量学和机器人导航等领域&#xff0c;能够修正因镜头光学特性或传感器排列问题导致的图像失真。下面我将介绍几种常用的图像畸变校正算法&#xff0c;并提供Python实现和测试用例。 常用算法及Python实现 1. 径向畸变校正 径向畸变是最常…
阅读更多...
电力系统时间同步系统

电力系统时间同步系统

电力系统中&#xff0c;电压、电流、功率变化等特征量测量都是时间相关函数[1]&#xff0c;统一精准的时间源对于电网安全稳定运行至关重要&#xff0c;因此&#xff0c;电力系统运行规程[2]中明确要求继电保护装置、自动化装置、安全稳定控制系统、能量管理系统和生产信息管理…
阅读更多...
Vue使用toFixed保留两位小数的三种写法

Vue使用toFixed保留两位小数的三种写法

第一种&#xff1a;直接写在js里面&#xff0c;这是最简单的 val.toFixed(2)第二种&#xff1a;在ElementUi表格中使用 第三种&#xff1a;在取值符号中使用 {{}} 定义一个方法 towNumber(val) { return val.toFixed(2) } 使用 {{ towNumber(row.equiV…
阅读更多...
Arch安装botw-save-state

Arch安装botw-save-state

devkitPro https://blog.csdn.net/qq_39942341/article/details/148387077?spm1001.2014.3001.5501 cargo https://blog.csdn.net/qq_39942341/article/details/148387783?spm1001.2014.3001.5501 megaton https://blog.csdn.net/qq_39942341/article/details/148388164?spm…
阅读更多...
电脑为什么换个ip就上不了网了

电脑为什么换个ip就上不了网了

在日常使用电脑上网时&#xff0c;很多人可能遇到过这样的问题&#xff1a;当IP地址发生变化后&#xff0c;突然就无法连接网络了。当电脑更换IP地址后无法上网&#xff0c;这一现象可能由多种因素导致&#xff0c;涉及网络配置、硬件限制或运营商策略等层面。以下是系统性分析…
阅读更多...
github 2FA双重认证丢失解决

github 2FA双重认证丢失解决

文章目录 前言一. 凭借ssh 解锁步骤1.1 要求输入设备码1.2.进入二重验证界面1.3.开始2FA恢复1.4.选择使用ssh验证 二.预防措施2.1 云盘上传git_recover_codes.txt2.2 开启多源FA认证2.2.1 大陆无法使用手机验证码 三.参考资料 前言 场景&#xff1a;没有意识到github recovery …
阅读更多...
linux驱动 - 5: simple usb device驱动

linux驱动 - 5: simple usb device驱动

参考第2节, 准备好编译环境并实现hello.ko: linux驱动 - 2: helloworld.ko_linux 驱动开发 hello world ko-CSDN博客 下面在hello模块的基础上, 添加代码, 实现一个usb设备驱动的最小骨架. #include <linux/init.h> #include <linux/module.h> #include <lin…
阅读更多...
ETL脚本节点使用的方式

ETL脚本节点使用的方式

随着大数据时代的到来&#xff0c;企业对数据处理的需求日益增长&#xff0c;ETL 作为数据整合的关键技术&#xff0c;逐渐走进我们的视野。本文将为您揭秘 ETL 脚本节点的使用方式&#xff0c;助您轻松驾驭数据处理新境界。 一、ETL脚本的优势 1.提高效率&#xff1a;ETL 脚…
阅读更多...
PH热榜 | 2025-06-02

PH热榜 | 2025-06-02

1. Circuit Tracer 标语&#xff1a;Anthropic的开放工具&#xff1a;让我们了解AI是如何思考的 介绍&#xff1a;Anthropic的开源工具Circuit Tracer可以帮助研究人员理解大型语言模型&#xff08;LLMs&#xff09;&#xff0c;它通过将内部计算可视化为归因图的方式展现相关…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023