HTTPS(Hypertext Transfer Protocol Secure)作为现在使用比较多的一种在客户端和服务器端实现通信加密的方式，成为了Web应用开发中的必不可少的安全方案。下面我们就来介绍一下如何在Spring Boot中配置和处理HTTPS请求处理。

为什么选择HTTPS？

HTTPS使用SSL/TLS协议对数据传输进行加密，可以有效的防止数据被窃取或篡改，为用户提供了更高的信任感，在进行非法访问的时候，浏览器将会标记其为不安全的访问。在应用安全方面起到了重要的作用。

HTTPS在Spring Boot中的实现步骤

准备SSL证书

SSL证书是用来进行加密通信的证书，可以通过如下的两种方式来获取SSL的证书，如下所示。

• 自签名证书：适合测试环境。
• 受信任的CA签发的证书：适合生产环境。

在开发阶段我们可以通过keytool命令来生成自定义的证书，如下所示。

keytool -genkey -alias mysslkey -keyalg RSA -keysize 2048 -keystore keystore.p12 -validity 365

这种方式会生成一个.p12格式的密钥库文件。

配置Spring Boot

生成证书完成之后，接下来就是将生成的SSL证书配置到SpringBoot项目中，如下所示，在SpringBoot的配置文件中添加如下的信息。

server:
  port: 8443
  ssl:
    enabled: true
    key-store: classpath:keystore.p12
    key-store-password: your_password
    key-store-type: PKCS12

配置说明

• server.port：设置HTTPS的端口号，常用的是443（生产环境）或8443（开发环境）。
• ssl.key-store：指定密钥库的位置，可以是classpath路径或文件路径。
• ssl.key-store-password：密钥库的密码。
• ssl.key-store-type：密钥库类型，常用的是PKCS12或JKS。

配置完成之后，接下来我们就可以启动项目并且尝试访问https://localhost:8443测试SSL证书是否配置成功，当然这种情况下由于是自签名的证书，可能在浏览器访问的时候会提示不受信，所以在生产环境中我们应该购买授信的CA证书。

强制跳转到HTTPS

当然在开发中为了保证所有的请求都是通过HTTPS进行处理，我们可以通过Spring Security来配置从HTTP到HTTPS之间的跳转，如下所示。

添加依赖

    org.springframework.boot
    spring-boot-starter-security

添加配置依赖完成之后，接下来就是需要创建一个Security配置类用来添加HTTP到HTTPS之间的跳转规则，如下所示。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.requiresChannel()
            .anyRequest()
            .requiresSecure(); // 强制所有请求使用HTTPS
    }
}

这样所有的HTTP请求都会强制使用HTTPS进行处理。

总结

当然在实际生产环境中，我们并不会通过上面的这种方式来直接实现HTTPS请求的处理，而是通过NGINX代理的方式来实现反向代理服务，在Spring Boot运行的后端服务中正常通过HTTP请求进行处理，由Nginx代理服务来处理SSL加密操作实现与应用程序隔离。