spring boot https 双向证书

原创

mob649e81597922 2023-07-23 22:34:34 ©著作权

文章标签 双向认证客户端服务器 文章分类 spring boot 后端开发

©著作权归作者所有：来自51CTO博客作者mob649e81597922的原创作品，请联系作者获取转载授权，否则将追究法律责任

Spring Boot中实现HTTPS双向认证

在现代Web开发中，安全性和隐私保护是至关重要的。为了保护Web应用程序的通信安全，使用HTTPS协议是一个不错的选择。而在某些场景下，我们需要对客户端进行身份验证，这就需要使用到双向认证。本文将介绍如何在Spring Boot中实现HTTPS双向认证。

什么是双向认证？

传统的单向认证只验证服务器的身份，而双向认证还需要验证客户端的身份。在双向认证中，服务器和客户端都需要提供数字证书。服务器使用其私钥对客户端的证书进行验证，而客户端使用其私钥对服务器的证书进行验证。只有在双方都通过了验证之后，才能建立安全的连接。

生成证书

首先，我们需要生成服务器和客户端的数字证书。这里我们使用OpenSSL工具来生成自签名证书。

生成服务器私钥和自签名证书

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout server.key -out server.crt

这将生成一个名为server.key的服务器私钥文件和一个名为server.crt的自签名证书文件。

生成客户端私钥和自签名证书

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout client.key -out client.crt

这将生成一个名为client.key的客户端私钥文件和一个名为client.crt的自签名证书文件。

Spring Boot项目配置

导入依赖

在pom.xml文件中添加以下依赖：

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置HTTPS连接

在application.properties文件中添加以下配置：

server.ssl.key-store=classpath:server.p12
server.ssl.key-store-password=password
server.ssl.key-store-type=PKCS12
server.ssl.key-alias=server
server.ssl.client-auth=need

这里使用了PKCS12格式的密钥库，并指定了服务器私钥文件的别名为server。server.ssl.client-auth设置为need表示需要进行客户端身份验证。

配置安全访问规则

创建一个类SecurityConfig，继承WebSecurityConfigurerAdapter，并重写configure(HttpSecurity http)方法：

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().antMatchers("/").permitAll()
                .and()
                .antMatcher("/**")
                .authorizeRequests()
                .anyRequest()
                .authenticated()
                .and()
                .x509()
                .subjectPrincipalRegex("CN=(.*?)(?:,|$)")
                .userDetailsService(userDetailsService());
    }
}

这里配置了安全访问规则，/路径不需要身份验证，其他路径需要进行身份验证。

运行Spring Boot应用程序

现在，我们可以启动Spring Boot应用程序来验证HTTPS双向认证是否正常工作。

@SpringBootApplication
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

测试双向认证

使用浏览器或HTTP客户端工具，向受保护的端点发送请求。如果没有提供正确的客户端证书，服务器将拒绝连接。

小结

通过本文，我们了解了如何在Spring Boot应用程序中实现HTTPS双向认证。首先，我们生成了服务器和客户端的数字证书。然后，我们配置了Spring Boot项目以使用这些证书进行双向认证。最后，我们测试了双向认证是否正常工作。HTTPS双向认证可以确保通信的安全性和双方身份的可信性，是保护Web应用程序的重要手段。

代码示例：[GitHub链接](