对于SSL的支持,Shiro只是判断当前url是否需要SSL登录,如果需要自动重定向到https进行访问。
1.首先生成数字证书,生成证书到D:\aa.keystore
使用JDK的keytool命令,生成证书(包含证书/公钥/私钥)到D:\aa.keystore:
keytool -genkey -keystore "D:\aa.keystore" -alias aa -keyalg RSA
输入密钥库口令:
再次输入新口令:
您的名字与姓氏是什么?
[Unknown]: aa
您的组织单位名称是什么?
[Unknown]: sishuok.com
您的组织名称是什么?
[Unknown]: sishuok.com
您所在的城市或区域名称是什么?
[Unknown]: beijing
您所在的省/市/自治区名称是什么?
[Unknown]: beijing
该单位的双字母国家/地区代码是什么?
[Unknown]: cn
CN=localhost, OU=sishuok.com, O=sishuok.com, L=beijing, ST=beijing, C=cn是否正确
?
[否]: y
输入 <aa> 的密钥口令
(如果和密钥库口令相同, 按回车):
再次输入新口令:
通过如上步骤,生成证书到D:\ aa.keystore;
2.设置tomcat下的server.xml
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="500" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS" keystoreFile="D:\aa.keystore" keystorePass="142429" />
keystorePass就是生成keystore时设置的密码。
3.添加SSL到配置文件(shiro.xml)
<bean id="sslFilter" class="org.apache.shiro.web.filter.authz.SslFilter">
<property name="port" value="8443"/>
</bean>
<bean id="shiroFilter" class="org.apache.shiro.spring.web.ShiroFilterFactoryBean">
……
<property name="filters">
<util:map>
<entry key="authc" value-ref="formAuthenticationFilter"/>
<entry key="ssl" value-ref="sslFilter"/>
</util:map>
</property>
<property name="filterChainDefinitions">
<value>
/login.jsp = ssl,authc
/logout = logout
/authenticated.jsp = authc
/** = user
</value>
</property>
</bean>
SslFilter默认端口是443,此处使用了8443;“/login.jsp = ssl,authc”表示访问登录页面时需要走SSL。
如访问localhost:8080/chapter14/,会自动跳转到https://localhost:8443/chapter14/login.jsp。
但Chrome(其他浏览器也一样)此时会告诉你:
您的连接不是私密连接
显示如下图标
或者
那就需要用当刚才生成的证书了,可以直接双击证书安装到“受信任的根证书颁发机构”,或者从Chrome中导入证书也可以。
4.导出证书
然后通过keytool的export参数导出证书:
keytool -alias aa -export -storepass 142429 -keystore d:/aa.keystore -file d:/aa.cer
注意这里的alias要和刚才生成时所用的alias对应起来