Nginx SSL+tomcat,使用request.getScheme() 取到https协议

qq10916069812024-11-16 20:26

架构上使用了 Nginx +tomcat 集群, 且nginx下配置了SSL,tomcat no SSL,项目使用https和http协议。

发现

    request.getScheme()  //总是 http,而不是实际的http或https  
    request.isSecure()  //总是false(因为总是http)  
    request.getRemoteAddr()  //总是 nginx 请求的 IP,而不是用户的IP  
    request.getRequestURL()  //总是 nginx 请求的URL 而不是用户实际请求的 URL  
    response.sendRedirect( 相对url )  //总是重定向到 http 上 (因为认为当前是 http 请求)

解决方法很简单,只需要分别配置一下 Nginx 和 Tomcat 就好了,而不用改程序。

配置 Nginx 的转发选项:

    proxy_set_header       Host $host;  
    proxy_set_header  X-Real-IP  $remote_addr;  
    proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;  
    proxy_set_header X-Forwarded-Proto  $scheme;

其中,主要是:proxy_set_header X-Forwarded-Proto $scheme;

Tomcat server.xml 的 Engine 模块下配置一个 Valve:

    <Valve className="org.apache.catalina.valves.RemoteIpValve"  
    remoteIpHeader="X-Forwarded-For"  
    protocolHeader="X-Forwarded-Proto"  
    protocolHeaderHttpsValue="https"/>

配置双方的 X-Forwarded-Proto 就是为了正确地识别实际用户发出的协议是 http 还是 https。

这样以上5项测试就都变为正确的结果了,就像用户在直接访问 Tomcat 一样。

关于 RemoteIpValve,有兴趣的同学可以阅读下 doc

RemoteIpValve (Apache Tomcat 6.0.53 API Documentation)

源码分析:

java 复制代码 
    if (protocolHeader != null) {  
        String protocolHeaderValue = request.getHeader(protocolHeader);  
        if (protocolHeaderValue == null) {  
            // don't modify the secure,scheme and serverPort attributes  
            // of the request  
        } else if (protocolHeaderHttpsValue.equalsIgnoreCase(protocolHeaderValue)) {  
            request.setSecure(true);  
            // use request.coyoteRequest.scheme instead of request.setScheme() because request.setScheme() is no-op in Tomcat 6.0  
            request.getCoyoteRequest().scheme().setString("https");  
              
            request.setServerPort(httpsServerPort);  
        } else {  
            request.setSecure(false);  
            // use request.coyoteRequest.scheme instead of request.setScheme() because request.setScheme() is no-op in Tomcat 6.0  
            request.getCoyoteRequest().scheme().setString("http");  
              
            request.setServerPort(httpServerPort);  
        }  
    }
  • 如果没有配置protocolHeader 属性, 什么都不做.
  • 如果配置了protocolHeader,但是request.getHeader(protocolHeader)取出来的值是null,什么都不做
  • 如果配置了protocolHeader,但是request.getHeader(protocolHeader)取出来的值(忽略大小写)是 配置的protocolHeaderHttpsValue(默认https),scheme设置为https,端口设置 为 httpsServerPort
  • 其他设置为 http
相关推荐
JaneJiazhao4 小时前
阿里云SSL证书每三个月过期续期方法 —— 使用httpsok工具轻松自动续期
阿里云·ssl
祭の5 小时前
新版Apache tomcat服务安装 Mac+Window双环境(笔记)
笔记·tomcat·apache
TsengOnce5 小时前
Docker安装稳定版本nginx-1.26.2
linux·nginx·docker
LeonNo1112 小时前
安全,服务器证书和SSL连接
服务器·安全·ssl
qyhua13 小时前
免费申请 Let‘s Encrypt SSL 证书
网络·网络协议·ssl
dreams_dream13 小时前
nginx证书流式响应配置
运维·nginx
Anyexyz13 小时前
1Panel 推送 SSL 证书到阿里云、腾讯云
阿里云·腾讯云·ssl
獨枭14 小时前
Nginx 上安装 SSL 证书并启用 HTTPS 访问
nginx·https·ssl
gsls20080821 小时前
docker打包nginx版wordpress
nginx·docker·wordpress
热门推荐
01聊聊 Python 中的同步原语,为什么有了 GIL 还需要同步原语02Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04好数(蓝桥杯)05软件工程从理论到实践客观题汇总(头歌第一章至第八章)06组基轨迹建模 GBTM的介绍与实现(Stata 或 R)07怎样让音频速度变慢?请跟随以下方法进行操作08全面解析:构建基于深度学习的安全帽检测系统(UI界面+YOLO代码+数据集)09基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测10玄机平台应急响应—webshell查杀