Spring Boot-实现Undertow服务器同时支持HTTP二、HTTPS

前言

现在，企业级应用程序的高性能安全加密的常见场景是同时支持HTTP和HTTPS两种协议，这篇文章考虑如何让Spring Boot应用程序同时支持HTTP和HTTPS两种协议。Spring Boot的web容器已经有容器能够支持HTTP2了，这个例子中选择了Undertow高性能服务器做为Spring Boot的web容器。

What-什么是HTTP2

HTTP2是HTTP协议自1999年HTTP1.1发布后的首个更新，主要基于SPDY协议。由互联网工程任务组（IETF）的 Hypertext Transfer Protocol Bis（httpbis）工做小组进行开发。该组织于2014年12月将HTTP/2标准提议递交至IESG进行讨论，于2015年2月17日被批准。HTTP2标准于2015年5月以RFC7540正式发表。

---

Why-为何要用HTTP2

HTTP2是第二代的HTTP协议，关于HTTP2的优势这里就不阐述了，能够参考下面连接文章了解：http://ju.outofmemory.cn/entr...。
下图是Akamai 公司创建的一个官方的演示，主要用来讲明在性能上HTTP/1.1和HTTP/2在性能升的差异。同时请求 379 张图片，HTTP/1.1加载用时4.54s，HTTP/2加载用时1.47s，你们能够经过 https://http2.akamai.com/demo 来感觉下HTTP2的提速。

What-什么是HTTPS

要说HTTPS咱们得先说SSL(Secure Sockets Layer，安全套接层)，这是一种为网络通讯提供安全及数据完整性的一种安全协议，SSL在网络传输层对网络链接进行加密。SSL协议能够分为两层：SSL记录协议（SSL Record Protocol），它创建在可靠的传输协议如TCP之上，为高层协议提供数据封装、压缩、加密等基本功能支持；SSL握手协议（SSL Handshake Protocol），它创建在SSL记录协议之上，用于在实际数据传输开始以前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。在Web开发中，咱们是经过HTTPS来实现SSL的。HTTPS是以安全为目标的HTTP通道，简单来讲就是HTTP的安全版，即在HTTP下加入SSL层，因此说HTTPS的安全基础是SSL，不过这里有一个地方须要小伙伴们注意，就是咱们如今市场上使用的都是TLS协议(Transport Layer Security，它来源于SSL)，而不是SSL，因为SSL出现较早而且被各大浏览器支持所以成为了HTTPS的代名词。

---

Why-为何要用HTTPS

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，若是攻击者截取了Web浏览器和网站服务器之间的传输报文，就能够直接读懂其中的信息，所以HTTP协议不适合传输一些敏感信息，好比信用卡号、密码等。
为了解决HTTP协议的这一缺陷，须要使用另外一种协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通讯加密。
HTTPS和HTTP的区别主要为如下四点：
1、https协议须要到ca申请证书，通常免费证书不多，须要交费。
2、http是超文本传输协议，信息是明文传输，https 则是具备安全性的ssl加密传输协议。
3、http和https使用的是彻底不一样的链接方式，用的端口也不同，前者是80，后者是443。
4、http的链接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

---

How-如何使用HTTPS和HTTP

若是你使用Spring Boot，而且想在内嵌服务器中添加HTTPS，须要以下步骤：

• 要有一个SSL证书，买的或者本身生成的。
• 在Spring Boot中启动HTTPS。
• 将HTTP重定向到HTTPS（可选）。

获取SSL证书

证书获取有两种方式，一种是本身经过jdk的keytool命令生成，一种是经过证书受权机构购买，本文为了方便采用第二种从阿里云购买证书。

去阿里云购买证书（免费版），并提交审核资料

• 下载SSL证书

在证书目录下执行阿里云提供的命令，密码都填 pfx-password.txt 中的内容（三次），会生成 javalsj.jks 文件。

keytool -importkeystore -srckeystore 214533136960974.pfx -destkeystore javalsj.jks -srcstoretype PKCS12 -deststoretype JKS

在Spring Boot中启动HTTPS和HTTP2

将javalsj.jks复制到Spring Boot应用的resources目录下

在application.properties中配置证书及端口，密码填写第3步中的密码

##################################---Undertow服务器支持HTTPS服务---##############################################
server.http2.enabled=true
server.servlet.context-path=/blog
custom.server.http.port=8080
server.port=8443
server.ssl.key-store=classpath:javalsj.jks
server.ssl.key-store-password=214533136960974

server.undertow.worker-threads=20
server.undertow.buffer-size=512
server.undertow.io-threads=2

此配置会使Undertow容器监听8443端口，那么只有在域名前添加 https://才能访问网站内容，添加http://则不行，因此须要让Undertow容器监听8080端口，并将8080端口的全部请求重定向到8443端口，即完成http到https的跳转。

将HTTP重定向到HTTPS（可选）

工程使用Gradle集成轻量级高性能非阻塞服务器undertow所须要的jar包：
compile group: 'org.springframework.boot', name: 'spring-boot-starter-undertow'
而后编写代码以下：

package com.javalsj.blog.configuration;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.boot.web.embedded.undertow.UndertowServletWebServerFactory;
import org.springframework.boot.web.servlet.server.ServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import io.undertow.Undertow;
import io.undertow.servlet.api.SecurityConstraint;
import io.undertow.servlet.api.SecurityInfo;
import io.undertow.servlet.api.TransportGuaranteeType;
import io.undertow.servlet.api.WebResourceCollection;

/**
 * @description 采用Undertow做为服务器,支持Https服务配置
 * @author WANGJIHONG
 * @date 2018年3月7日 下午8:34:18
 * @Copyright 版权全部 (c) www.javalsj.com
 * @memo 备注信息
 */
@Configuration
public class WebServerConfiguration {
    
    /** 
     * http服务端口
     */ 
    @Value("${custom.server.http.port}")
    private Integer httpPort;
    
    /** 
     * https服务端口
     */ 
    @Value("${server.port}")
    private Integer httpsPort;
    
    /**
     * 采用Undertow做为服务器。
     * Undertow是一个用java编写的、灵活的、高性能的Web服务器，提供基于NIO的阻塞和非阻塞API，特色：
     * 很是轻量级，Undertow核心瓶子在1Mb如下。它在运行时也是轻量级的，有一个简单的嵌入式服务器使用少于4Mb的堆空间。
     * 支持HTTP升级，容许多个协议经过HTTP端口进行多路复用。
     * 提供对Web套接字的全面支持，包括JSR-356支持。
     * 提供对Servlet 3.1的支持，包括对嵌入式servlet的支持。还能够在同一部署中混合Servlet和本机Undertow非阻塞处理程序。
     * 能够嵌入在应用程序中或独立运行，只需几行代码。
     * 经过将处理程序连接在一块儿来配置Undertow服务器。它能够对各类功能进行配置，方便灵活。
     */
    @Bean
    public ServletWebServerFactory undertowFactory() {
        UndertowServletWebServerFactory undertowFactory = new UndertowServletWebServerFactory();
        undertowFactory.addBuilderCustomizers((Undertow.Builder builder) -> {
            builder.addHttpListener(httpPort, "0.0.0.0");
            // 开启HTTP2
            builder.setServerOption(UndertowOptions.ENABLE_HTTP2, true);
        });
        undertowFactory.addDeploymentInfoCustomizers(deploymentInfo -> {
            // 开启HTTP自动跳转至HTTPS 
            deploymentInfo.addSecurityConstraint(new SecurityConstraint()
                    .addWebResourceCollection(new WebResourceCollection().addUrlPattern("/*"))
                    .setTransportGuaranteeType(TransportGuaranteeType.CONFIDENTIAL)
                    .setEmptyRoleSemantic(SecurityInfo.EmptyRoleSemantic.PERMIT))
                    .setConfidentialPortManager(exchange -> httpsPort);
        });
        return undertowFactory;
    }
    
}

验证HTTPS和HTTP2开启成功

重启服务，即完成了HTTP到HTTPS的升级，且能自动跳转HTTPS，让网站更安全。输入http://localhost:8080/blog/swagger-ui.html后回车地址栏自动跳转至https://localhost:8443/blog/swagger-ui.html，如图：

---

使用Chrome浏览器的console控制台，输入脚本后回车查看HTTP2是否开启，脚本以下：

(function(){
    // 保证这个方法只在支持loadTimes的chrome浏览器下执行
    if(window.chrome && typeof chrome.loadTimes === 'function') {
        var loadTimes = window.chrome.loadTimes();
        var spdy = loadTimes.wasFetchedViaSpdy;
        var info = loadTimes.npnNegotiatedProtocol || loadTimes.connectionInfo;
        // 就以 「h2」做为判断标识
        if(spdy && /^h2/i.test(info)) {
            return console.info('本站点使用了HTTP/2');
        }
    }
    console.warn('本站点没有使用HTTP/2');
})();

总结

本文只是介绍了Undertow服务器的HTTPS支持，Spring Boot支持Jetty,Tomcat等服务器，不一样的服务器实现能够查资料了解，嘿嘿。