Nginx+Tomcat+SSL 识别 https还是http

最新推荐文章于 2022-05-11 18:27:10 发布
最新推荐文章于 2022-05-11 18:27:10 发布
阅读量1.1w 收藏 6
点赞数 3
分类专栏: linux Web服务器

原文出处:SSL证书与Https应用部署小结


实际上, 规模的网站都有很多台Web服务器和应用服务器组成,用户的请求可能是经由 Varnish、HAProxy、Nginx之后才到应用服务器,中间有好几层。而中小规模的典型部署常见的是 Nginx+Tomcat 这种两层配置,而Tomcat 会多于一台,Nginx 作为静态文件处理和负载均衡。

如果Nginx作为前端代理的话,则Tomcat根本不需要自己处理 https,全是Nginx处理的。用户首先和Nginx建立连接,完成SSL握手,而后Nginx 作为代理以 http 协议将请求转给 tomcat 处理,Nginx再把 tomcat 的输出通过SSL 加密发回给用户,这中间是透明的,Tomcat只是在处理 http 请求而已。因此,这种情况下不需要配置 Tomcat 的SSL,只需要配置 Nginx 的SSL 和 Proxy。

在代理模式下,Tomcat 如何识别用户的直接请求(URL、IP、https还是http )?
在透明代理下,如果不做任何配置Tomcat 认为所有的请求都是 Nginx 发出来的,这样会导致如下的错误结果:
  • request.getScheme()  //总是 http,而不是实际的http或https
  • request.isSecure()  //总是false(因为总是http)
  • request.getRemoteAddr()  //总是 nginx 请求的 IP,而不是用户的IP
  • request.getRequestURL()  //总是 nginx 请求的URL 而不是用户实际请求的 URL
  • response.sendRedirect( 相对url )  //总是重定向到 http 上 (因为认为当前是 http 请求)

如果程序中把这些当实际用户请求做处理就有问题了。解决方法很简单,只需要分别配置一下 Nginx 和 Tomcat 就好了,而不用改程序。
配置 Nginx 的转发选项:

proxy_set_header       Host $host;
proxy_set_header  X-Real-IP  $remote_addr;
proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto  $scheme;

配置Tomcat server.xml 的 Engine 模块下配置一个 Value:
<Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="X-Forwarded-For"protocolHeader="X-Forwarded-Proto" protocolHeaderHttpsValue="https"/>

配置双方的 X-Forwarded-Proto 就是为了正确地识别实际用户发出的协议是 http 还是 https。X-Forwarded-For 是为了获得实际用户的 IP。
这样以上5项测试就都变为正确的结果了,就像用户在直接访问 Tomcat 一样。


文章参考:负载均衡配置


        # nginx 部分配置参考
        server {
                server_name www.zhangblog.com;
                listen 443;
                index index.jsp;
                ssl on;
                ssl_certificate /mnt/releaseCert/serverbundle.crt;
                ssl_certificate_key /mnt/releaseCert/serverbundle.key;


                if ($request_uri ~* "\.html$"){
                        rewrite ^/(.*)$ http://$host/$1 redirect;
                }

                location / {
                         proxy_pass http://10.171.27.25:9002;  # 内网IP
                         proxy_set_header HOST $host;
                         proxy_set_header X-Real-IP $remote_addr;
                         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                         proxy_set_header X-Forwarded-Proto $scheme;
                }
        }
        server{
                server_name www.zhangblog.com;
                listen 80;
                index index.jsp;

                if ($request_uri ~* "/pmcs/$"){
                        rewrite ^/(.*)$ https://$host/$1 redirect;
                }
                if ($request_uri ~* "/pmcs/login.jsp$"){
                        rewrite ^/(.*)$ https://$host/$1 redirect;
                }

                location / {
                         proxy_pass http://10.171.27.25:9002;
                         proxy_set_header HOST $host;
                         proxy_set_header X-Real-IP $remote_addr;
                         proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                         proxy_set_header X-Forwarded-Proto $scheme;
                }
        }



LightZhang666
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx 安装、配置 http + https 访问 tomcat 项目以及配置 http 强转 https
weidong_y的博客
06-03 4999
一、在 linux (CentOS)上安装 nginx第一步:添加 nginx 存储库xshell&gt; yum install epel-release第二步:安装 nginxxshell&gt; yum install nginx使用 yum 安装 nginx 后,nginx 的默认路径为:/etc/nginx第三步:启动 nginxxshell&gt; systemctl start ng...
nginx+tomcat+redis+mysq集群部署方案.docx
03-10
安装Nginx,配置http、server和location段,设置负载均衡策略(如轮询、权重分配等),并开启SSL支持,提供安全的HTTPS服务。 3.5 数据库的安装与配置 安装MySQL数据库,创建所需的数据表,配置连接池,设置访问...
简单配置搞定 Nginx + Tomcat + HTTPS
newtelcom的专栏
03-02 5502
https://www.91ri.org/11896.html 之前在网上搜索到的很多文章在描述 Nginx + Tomcat 启用 HTTPS 支持的时候,都必须在 NginxTomcat 两边同时配置 SSL 支持。但我一直在想为什么就不能按照下面的方式来配置呢?就是 Nginx 上启用了 HTTPS,而 NginxTomcat 之间走的却是普通的 HTTP 连接。但是搜
详解 Nginx + Tomcat HTTPS/SSL 配置
Jinda的博客
11-04 1055
1. 申请 SSL 证书  你可以从很多网站购买到SSL证书,我经常使用的是 GeoTrust 。证书都是收费的(据说有免费的,没试过),价格有贵的有便宜的。它们的区别是发行证书的机构不同,贵的证书机构更权威,证书被浏览器否决的几率更小。正规运营的网站建议购买好一点的证书,免了麻烦,也贵不了多少。  1.1 生成 CSR 文件  申请证书的时候,证书的发行机构会要求你提供一个CSR(Ce
nginx 配置https,tomcat配置 http
u012132785的博客
07-09 410
nginx 版本:1.14+ tomcat版本:8.5+ nginx配置: add_header Content-Security-Policy "upgrade-insecure-requests;connect-src *"; nginx配置 tomcat 配置: scheme="https" proxyPort="443" 到这就大功告成
nginx https tomcat http 同时存在同域名访问
qq_38254467的博客
09-03 3808
前言:现在网络安全越来越重要,绝大部分的网站都已经全站https了,例如:微信小程序的开发中,就要去后台必须是https的,其他的微信接口也是建议使用https,但是在实际应用中,我们有时却没有办法完全舍弃http的请求。这个时候就需要一个服务httphttps都可以访问,当然我也是建议全站https,http自动跳转https。 要求:有nginxtomcat的配置经验 目标:1、全站h...
nginx + tomcat 集群
06-23
- 修改每个Tomcat实例的`server.xml`文件,为每个Engine元素添加`jvmRoute`属性,分别设为"a"、"b"和"c",这将帮助Nginx识别不同的Tomcat实例。 2. **Nginx配置** - 在Nginx的主配置文件`nginx.conf`中,设置`...
Nginx + Memcached + Tomcat 集群负载均衡
08-04
- 在这种架构中,安全策略包括SSL/TLS加密、防火墙配置、以及对NginxTomcat的安全配置。 - 性能优化可能涉及压缩输出、减少DNS查询、调整连接超时等。 7. **扩展性**: - 随着流量的增长,可以动态添加或移除...
nginx1.8+tomcat8轻量级占用内存少集群负载均衡配置
08-26
在实际部署中,还需要考虑其他因素,如健康检查(health checks)以确保Nginx只将请求转发给正常运行的Tomcat实例,SSL/TLS加密以保护数据安全,以及日志管理、错误处理和监控等运维方面的需求。 总的来说,"nginx...
Nginx+Tomcat+Redis负载均衡、数据分离、session共享
01-15
在构建高性能、高可用性的Web服务时,"Nginx+Tomcat+Redis"的组合是一种常见的架构设计。这种架构利用Nginx作为反向代理和负载均衡器,Tomcat作为Java应用服务器处理动态请求,而Redis则用于存储和共享Session数据。...
nginx+tomcat8 ssl使用https访问
06-10
NULL 博文链接:https://youngbrick.iteye.com/blog/2336806
使用nginxhttps)为tomcat(http)做反向代理
cbuy888的博客
06-27 3082
使用nginxhttps)为tomcat(http)做反向代理 公司使用tomcat部署了一套服务,需要通过互联网对外提供服务。鉴于安全考虑,公司要求使用https对外提供服务,在配置nginx反向代理时,通过httptomcat做反向代理时测试正常;通过httpstomcat做反向代理时,要么跳转不到tomcat站点,要么在tomcat站点的各个页面之间无法跳转。通过网上搜索...
Nginx SSL+tomcat集群,request.getScheme() 取到https正确的协议
WHO ARE YOU
01-18 476
公司之前用的是http,但是出于苹果app审核和服务器安全性问题,要改为https,我们公司用的是沃通的ssl,按照沃通的官方文档提供的步骤完成服务器的配置。 架构上使用了 Nginx +tomcat 集群, 且nginx下配置了SSL,tomcat 没有配置SSL,项目使用https协议。 配置成功后明明是https url请求,发现 log里面,tomcat获取scheme的时候,一直是ht
Nginx+tomcat配置HTTPS请求配置说明(阿里云证书),HTTP自动跳转HTTPS
chenchao_JAVA的博客
08-25 621
关于nginx-tomcat负载均衡的配置前面已经写过一篇文章,感兴趣的同学可以去看看《【Nginx+Tomcat】集群配置+Nginx配置》,本文主要教大家怎么配置nginx下网站实现https请求和http强制跳转https请求。 1、申请ssl证书(本文说明使用的是阿里云的免费ssl证书,免费证书只能绑定一个具体的二级域名,如果需要解析很多二级域名到你的网站,那就买收费的ssl证书吧) 登录阿里云,申请自己的ssl证书 支付0元,下单成功后继续进入证书管理界面,申请证书。 .
NginxHttps配置及代理api接口配置
我是福强的博客
05-11 2568
nginx配置htpps
tomcat-web应用过滤器
一叶知春秋
05-19 2279
WEB应用过滤器对于web应用中我们可以配置自定义的过滤器满足自己对项目的需求,但是针对一些常见的Web应用需求,Tomcat已经提供了一系列的实现,只需要直接配置加入到项目中就可以满足需要。CorsFilterOrg.apache.catalina.filters.CorsFilter是W3C CORS(跨域资源共享)规范的一个实现,是启用跨域资源共享的一种途径。该过滤器主要在HttpServl...
关于Nginx配置SSL httpshttp,服务端获取的请求是http的解决方法
m0_38089795的博客
05-22 3527
Nginx代理中配置: proxy_redirect http:// https://; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_heade...
借助nginx实现反向代理,并通过SSL证书实现https访问以及http调整https访问。
热门推荐
Sail的博客
01-23 1万+
目录前言nginx反向代理为什么我们需要用到反向代理?开始配置软件版本申请SSL证书首先安装nginx上传.crt和.key证书创建配置文件验证配置文件并重启nginx服务成功 前言 这段时间借助hexo粗略的搭建了一个自己的个人博客,通过域名访问时发现浏览器一直不安全,最后发现是因为一直通过的http访问。想着既然如此一步到位,完善成https访问方式。正巧腾讯云域名申请报备后, SSL证书的申请很容易, 查阅了不少资料,作为小白最后也完成了这一目标。 所以在这里将踩过的坑,以及经验步骤总结如下,欢迎指正
Keepalived+Nginx+Tomcat 高可用集群搭建实践教程
本文档详细记录了在Linux环境下使用Keepalived配置NginxTomcat实现高可用集群的实战过程。首先,作者从Tomcat高可用集群的准备工作开始,包括软件环境的设置,如在CentOS 7.7系统上安装必要的依赖软件,如GCC、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值