Shiro处理SSL连接

Shiro内置了SslFilter用来处理需要使用SSL连接的请求。对需要使用SSL连接的URL配置SslFilter，那么该请求就会变为”https”协议。

生成公钥和私钥

首先，在命令行中输入“keytool –genkey”将自动使用默认的算法生成公钥和私钥，并以交互方式获得公钥持有者的信息。其交互过程如下 ：

D:>keytool -genkey -keystore “D:\mykey.keystore” -alias localhost -keyalg RSA 
输入keystore密码： 
再次输入新密码: 
您的名字与姓氏是什么？ 
[Unknown]： localhost 
您的组织单位名称是什么？ 
[Unknown]： zhu 
您的组织名称是什么？ 
[Unknown]： zhu 
您所在的城市或区域名称是什么？ 
[Unknown]： zj 
您所在的州或省份名称是什么？ 
[Unknown]： hz 
该单位的两字母国家代码是什么 
[Unknown]： cn 
CN=localhost, OU=zhu, O=zhu, L=zj, ST=hz, C=cn 正确吗？ 
[否]： y 
输入<localhost>的主密码 
（如果和 keystore 密码相同，按回车）：

导出证书

然后通过keytool的export参数导出证书：

D:>keytool -alias localhost -export -storepass 123456 -keystore d:/mykey.keystore -file d:/mycer.cer

注意这里的alias要和刚才生成时所用的alias对应起来。

配置tomcat的SSL端口

下面设置tomcat下的server.xml: 
找到端口为8443的Connector，并将其注释去掉，并改为如下形式：

    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"               maxThreads="150" scheme="https" secure="true"               clientAuth="false" sslProtocol="TLS"                keystoreFile="D:\mykey.keystore" keystorePass="123456"/>
1
2
3
4
1
2
3
4

需要注意的是，这里protocol默认为HTTP/1.1，但是我用HTTP/1.1会报错：

Java.lang.Exception: No Certificate file specified or invalid file format

所以改成了org.apache.coyote.http11.Http11Protocol

配置Shiro

如我们开头所说，这里要配置一个SslFilter，并将重定向的端口号设为8443：

<bean id="sslFilter" class="org.apache.shiro.web.filter.authz.SslFilter">          <property name="port" value="8443"/>      </bean>    <!-- Shiro的Web过滤器 -->    <bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">        <property name="securityManager" ref="securityManager" />        <property name="loginUrl" value="/login" />        <property name="unauthorizedUrl" value="/unauthorized" />        <property name="filters">            <util:map>                <entry key="authc" value-ref="formAuthenticationFilter" />                <entry key="logout" value-ref="logoutFilter" />                <entry key="ssl" value-ref="sslFilter"></entry>            </util:map>        </property>        <property name="filterChainDefinitions">            <value>                /favicon.ico = anon                /special/unauthorized = anon                /register = anon                /login = ssl,authc                /logout = logout                /** = user            </value>        </property>    </bean>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

如一切正常，那么启动tomcat访问登陆页面时会被重定向到8443端口，但Chrome此时会告诉你：

您的连接不是私密连接

那就需要用当刚才生成的证书了，可以直接双击证书安装到“受信任的根证书颁发机构”，或者从Chrome中导入证书也可以。