Nginx代理SSL 到Spring boot

最新推荐文章于 2025-06-26 00:45:00 发布
原创 最新推荐文章于 2025-06-26 00:45:00 发布 · 667 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #ssl #spring boot

因为nginx 代理的 ssl请求, 所以使用request.isSecure() 无法获取正确的结果

有两个地方的原因:

nginx 代理没配置转发:

        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Scheme $scheme;

Spring boot 没开启配置

server:
  # 端口
  port: 8080
  # 开启协议头
  forward-headers-strategy: native

为什么使用native请看资料

NATIVE (默认值,推荐)

含义: 依赖于底层内嵌的 Web 服务器(如 Tomcat 的 RemoteIpValve、Jetty 的 ForwardedRequestCustomizer、Undertow 的 ProxyHandler)来处理转发头。
何时使用: 这是推荐的方式,因为它将转发头的解析职责交给了 Web 服务器本身,通常性能更好,也更符合 Servlet 容器的规范。
注意: 如果使用 NATIVE,你仍然需要确保底层的 Web 服务器正确配置了信任代理的 IP 地址范围(例如 Tomcat 的 internalProxies)。

FRAMEWORK

含义: 使用 Spring Framework 自己的 ForwardedHeaderFilter 来处理转发头。这个过滤器会修改 HttpServletRequest 对象的属性。
何时使用: 当你使用自定义的 Web 服务器配置或者底层 Web 服务器不支持转发头处理时,可以考虑使用此选项。但通常不建议。
注意: 如果使用此选项,Spring Framework 的过滤器会处理头,而不是 Web 服务器的原生机制。

NONE

含义: 完全禁用 Spring Boot 和底层 Web 服务器对转发头的处理。
何时使用: 只有当你确定不需要处理任何转发头,或者你自己有自定义的、更高优先级的过滤器来处理这些头时才使用。
重要:如果您的 request.isSecure() 始终为 false,而 Nginx 配置正确,很有可能就是这个策略被无意中设置为了 NONE。

使用Nginx部署Spring Boot项目的详细步骤
BxuqBlockchain的博客
09-28 1739
Nginx是一个高性能的开源Web服务器,也可以用作反向代理服务器。它可以与Spring Boot项目一起使用,提供静态文件服务、负载均衡和请求转发等功能。本文将介绍如何使用Nginx部署Spring Boot项目,并提供相应的源代码作为参考。至此,您已成功使用Nginx部署了Spring Boot项目。通过这种方式,您可以提供静态文件服务、实现负载均衡和更好地保护您的应用程序。请注意,以上步骤中提到的配置和命令可能因您的环境而有所不同。确保您的Spring Boot应用程序已经打包成可执行的JAR文件。
nginx ssl证书配置
学海无涯,我用JAVA
03-11 4246
linux服务器nginx配置ssl证书。至此 已经可以成功通过域名访问到服务器的页面了~~
nginx gzip 压缩配置
Blau的博客
08-08 1237
nginx gzip 压缩配置 直接使用如下: gzip on; gzip_min_length 1k; # gzip_disable "msie6"; gzip_comp_level 4; gzip_buffers 4 16k; gzip_http_version 1.1; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss
Nginx配置https(ssl证书)并反向代理Springboot Jar项目
陈鱼落雁的博客
04-21 6568
下载安装NGINX # 下载NGINX: yum install nginx # 启动nginx: systemctl start nginx # 加入开机启动: systemctl enable nginx # 查看nginx的状态: systemctl status nginx 配置NGINX 下载后需要对NGINX进行配置,这里的配置文件是nginx.conf,可以使用命令 find / -name “nginx.conf” 进行查找,默认是在 /etc/nginx/nginx.conf,在.
Nginx/Tomcat/SpringBoot配置自生成SSL证书
拉你手跟我走的专栏
12-21 2137
Nginx/Tomcat/SpringBoot配置自生成SSL证书的两种方式
nginx实战总结-结合springboot项目-04
ddm524547806的博客
04-21 1127
一、前言 经过前面几章的介绍(nginx是什么用、nginx搭建、nginx目录初识、nginx配置文件初识),现在进入正题 ,结合springboot项目,来演示如何通过相关参数,实现具体的功能 二、使用步骤 将一个springboot项目,部署到两台服务器上(10.9.5.136、10.9.5.114) 在nginx.conf添加配置 # 在http节点下,添加upstream节点 upstream springboot{ server 10.9.5.114:6200;
自签SSL证书配置Nginx代理Vue+SpringBoot前后端分离服务
Heartsuit的博客
10-29 2803
最近的一个小项目,部署在专网中,可是最近等保测评要求整改为HTTPS加密传输。像我们以前的部署在互联网上的项目都购买了域名,并在云服务商那里申请免费的。证书,这样在浏览器中会提示证书不安全,用户需要多操作一步添加例外才可以正常访问系统。好在可以满足等保的要求,可行那就开干。可是现在在专网中,而且没有域名,甚至没有。移除文件口令,输出到新的server.key(这时,需要输入第一步设置的密码)模块后,将前面生产的秘钥及证书放到一个目录中,我这里是。代理静态资源,以验证证书的有效性。的完整配置,最终实现。
腾讯云 Spring Boot 安装 SSL 证书
09-06 1373
若您需部署到腾讯云云服务器,建议使用云服务器的文件上传功能。linux和windows下,因为有ngxin,所以安装ssl证书都感觉比较容易,毕竟通过代理方式能够胜任大多数的https安全问题。安装 SSL 证书前,请您在 Tomcat 服务器上开启 “443” 端口,避免证书安装后无法启用 HTTPS。但是有些情况下,ngxin可能无法安装什么的,可能需要在spring boot下直接安装ssl,咋办?当前服务器的操作系统为 CentOS 7,由于操作系统的版本不同,详细操作步骤略有区别。
Spring Boot跨域问题终极解决方案:8种方法全解(含网关、Nginx与动态配置)
墨夶的博客
06-26 927
本文全面解析跨域问题(CORS)的8种实战解决方案,涵盖应用层、网关层和代理层。在Spring Boot应用层提供5种方法:从局部跨域注解@CrossOrigin、全局WebMvcConfigurer配置、CorsFilter过滤器,到动态跨域校验和响应拦截增强。网关层介绍2种方案:Spring Cloud Gateway的全局配置和动态路由策略。最后讲解Nginx反向代理的跨域处理。每种方案均附代码示例,并分析优缺点和适用场景,帮助开发者根据实际需求选择最优解。文章注重实战,适用于前后端分离开发中各种跨域
docker上用HTTPS协议在Nginx上发布Spring boot+VUE项目
wujize的博客
06-18 1136
今天需要将spring boot+vue的前后端分离项目发布在docker上,对外只公布vue项目的用https协议访问的443端口,多番尝试后终于成功,特记录如下: 一、申请采购 域名与服务器采用阿里云的,证书自然也是选阿里的免费证书,配置如下。 证书申请 二、证书下载 证书采购后,在证书管理页面,正式申请证书,填写自己的相关信息,需要实名信息,并且需要与域名持有者的身份信息一致,以便于通过审核。证书通过审核后,会下会证书,注意观察申请进展,一般很快会通过审查,并生成证书,如下图所示下载备用。 证书下
【云原生】使用nginx反向代理后台多服务器
RemainderTime
11-07 6825
Nginx[engine x]是一个免费开源Web服务器,是一个HTTP和反向代理服务器,邮件代理服务器, 和一个通用的 TCP/UDP 代理服务器,最初由俄罗斯软件工程师Igor Sysoev撰写。nginx专注于高性能、高并发性和低内存使用率。能够在高并发下给网站提供稳定的服务。
nginx】快速入门——SpringBoot项目代理及图片代理
God_WZH的博客
04-24 7388
nginx快速入门1. 简介2. Ngnix下载2. Nginx启动与停止2.1 启动2.2 关闭2.3 重新启动3. Ngnix配置文件4. SpringBoot项目代理5. 图片代理 1. 简介 nginx(engine x)是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。 Nginx专为性能优化而开
SpringBoot + Nginx配置SSL证书
王明海的专栏
08-17 4647
简介: 由于小程序访问服务器地址需要强制使用https,因此需要加服务器加SSL证书。springboot本身也可以通过tomat配置证书或者将证书集成到jar包里面,但是放在jar程序的证书格式局限在.p12格式,而生成的证书一般是crt或pem,因此转换起来很不方便。这时可以使用nginx代理https请求,从而达到用nginx配置SSL证书的目的。 安装及配置nginx 安装和配置ng...
Nginx(http配置、https配置)访问Spring Boot 项目
m0_74444744的博客
07-02 2154
nginx(http配置、https配置)访问spring boot 项目
Nginx部署Springboot项目&&配置Https访问
weixin_39555954的博客
05-07 5005
基于Docker安装的Nginx实现springboot项目 https 的访问,并实现了主备
nginx 部署springboot 项目
xiaoyaozizai1的博客
04-16 2541
nginx主要是个代理映射到另个地址 1. centos部署一个springboot jar 项目,这里用一个现成的项目,端口是8090。 nohup java -jar springboot-thread-0.0.1-SNAPSHOT.jar & 2. 配置nginx文件,我的nginx的安装目录是/usr/local/nginx sudo vi /usr/l...
nginx代理springboot前后端分离服务--接入cas客户端时内外网配置
weixin_42949219的博客
11-09 838
因为前端访问后端程序时需要进行登录验证,因为是在浏览器中访问的地址,所以跳转登录地址为外网地址才能进行访问,验证通过之后,服务端会获取票据ticket,会拿票据ticket去cas服务端验证,内网之间程序访问使用外网会不通,所以去cas服务端验证的地址应是内网的。因为前端是nginx代理的,所以前端配置的后端地址,cas服务端地址都应是。
springboot + nginx配置https
weixin_67093769的博客
12-29 1257
证书的制作证书的制作。
SpringbootNginxSSL配置
源来如此
01-12 587
3. 生成四个文件:cert.pem、chain.pem、fullchain.pem、privkey.pem,其中 Nginx 需要 fullchain.pem、privkey.pem。在线转换工具:https://myssl.com/cert_convert.html、https://www.racent.com/cert-convert。参考:https://www.cnblogs.com/tv151579/p/8268356.html。#1. 部分企业不认可 openssl
NGINX反向代理解决ssl证书问题
最新发布
10-30
<think>我们正在解决的问题是:使用Nginx反向代理解决SSL证书配置问题。用户之前已经询问过类似问题,并且我们给出了使用Nginx反向代理来避免在Spring Boot中直接配置SSL的解决方案。现在用户再次询问,并提供了几个引用,我们需要整合这些信息,特别是关于国密SSL、Docker部署、配置重启以及反向代理中header丢失的问题。 核心目标:使用Nginx反向代理来处理SSL(包括国密SSL),并将请求转发到后端HTTP服务(如Spring Boot),从而简化后端服务的配置。 步骤: 1. 配置Nginx监听443端口(HTTPS),并指定SSL证书和私钥的路径。 2. 将HTTPS请求反向代理到后端的HTTP服务(如localhost:8080)。 3. 配置HTTP重定向到HTTPS(可选,但推荐)。 4. 注意反向代理过程中可能出现的header丢失问题(如underscores_in_headers配置)。 5. 重启Nginx使配置生效。 参考引用: [^1]:提到了国密SSL的配置,并且使用了特定的SSL引擎(ssl_engine sdf)和加载了stream模块(ngx_stream_module.so)。但注意,国密SSL需要Nginx支持国密算法,通常需要编译支持国密的版本。 [^2]:提醒在Docker中部署Nginx反向代理可能会遇到一些问题,需要特别注意。 [^3]:强调了配置完成后需要重启Nginx(使用`nginx -t`测试配置,`nginx -s reload`重启)。 [^4]:指出了Nginx反向代理中的一个常见问题:默认情况下,Nginx会忽略header中包含下划线的字段,可以通过设置`underscores_in_headers on`来解决。 因此,我们的配置需要包括: - 基本SSL配置(包括国密SSL的特别配置,如果需求是国密) - 反向代理设置(包括处理header下划线的问题) - 重启Nginx的步骤 由于用户没有明确说明是否为国密,但引用[1]提到了国密SSL,所以我们在配置中同时提供标准SSL和国密SSL的配置参考(以注释区分)。 此外,如果是在Docker中部署,需要注意: - 挂载证书文件和配置文件到容器内 - 确保容器内的Nginx支持国密(如果需要国密,则需要使用支持国密的镜像) 配置示例: 普通SSL配置: ``` server { listen 443 ssl; server_name yourdomain.com; ssl_certificate /etc/nginx/ssl/server.crt; ssl_certificate_key /etc/nginx/ssl/server.key; # 其他SSL优化参数 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers HIGH:!aNULL:!MD5; location / { proxy_pass http://backend:8080; # 以下设置确保后端的服务能获取到真实的客户端信息 proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 允许header中带下划线(避免Token丢失等问题) underscores_in_headers on; } } ``` 国密SSL配置(需要Nginx支持国密): ``` server { listen 443 ssl; server_name yourdomain.com; # 国密双证书配置 ssl_certificate /etc/nginx/ssl/server_sign.crt; # 签名证书 ssl_certificate_key /etc/nginx/ssl/server_sign.key; # 签名私钥 ssl_certificate /etc/nginx/ssl/server_enc.crt; # 加密证书 ssl_certificate_key /etc/nginx/ssl/server_enc.key; # 加密私钥 # 国密协议和加密套件 ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # 国密目前主要使用TLSv1.1和TLSv1.2 ssl_ciphers ECC-SM2-WITH-SM4-SM3:ECC-SM2-WITH-SMS4-SM3:ECDHE-SM2-WITH-SM4-SM3:AES128-GCM-SHA256:...; # 具体套件根据实际情况 # 启用国密 ssl_engine sdf; # 使用硬件加速设备(如果有的话) location / { proxy_pass http://backend:8080; # 同样注意header下划线问题 underscores_in_headers on; ... # 其他代理设置 } } ``` 注意:国密SSL的配置较为复杂,需要确保Nginx已支持国密算法(例如通过编译加入国密模块)。如果使用硬件加密设备,还需要配置ssl_engine。 重启Nginx: ``` nginx -t # 测试配置 nginx -s reload # 重新加载配置 ``` Docker部署注意事项: 1. 构建支持国密的Nginx镜像(如果需要国密),或者使用现成的支持国密的镜像。 2. 挂载证书目录和配置文件: ```bash docker run -d --name nginx \ -v /path/to/ssl:/etc/nginx/ssl:ro \ -v /path/to/conf.d:/etc/nginx/conf.d:ro \ -p 443:443 \ nginx:gmssl # 假设有国密镜像 ``` 3. 在配置文件中注意路径是容器内的路径(如/etc/nginx/ssl/)。 关于反向代理中的header问题: 如果后端服务通过header传递自定义字段(尤其是包含下划线的字段,如`user_token`),默认情况下Nginx会忽略这些header(返回400错误),因为Nginx默认认为带下划线的header是不安全的。解决方案是在http或server块中设置`underscores_in_headers on;`。 总结配置步骤: 步骤1:准备证书 将证书文件放入Nginx服务器(或容器内)的目录,例如:/etc/nginx/ssl/ 步骤2:配置Nginx 在/etc/nginx/conf.d/下创建配置文件(如ssl.conf),内容参考上述配置示例。 步骤3:重启Nginx 执行`nginx -t`验证配置,再执行`nginx -s reload`重启。 步骤4:验证 使用浏览器访问https://yourdomain.com,确认能够正常访问后端服务,且证书有效。 相关问题: 1. 如何编译支持国密SSLNginx? 2. Docker中如何部署支持国密SSLNginx反向代理? 3. 如何解决Nginx反向代理后的服务获取不到真实客户端IP的问题? 4. 如何配置Nginx以支持HTTP/2? 5. 如何自动化更新SSL证书并在Nginx中重载? </think>### 使用 Nginx 反向代理解决 SSL 证书问题的方法 以下是完整的配置流程,整合了国密 SSL 支持、Docker 部署实践和常见问题解决方案: #### 一、核心配置方案 ```nginx # 全局配置(支持国密 SSL 时需加载引擎) user nginx; worker_processes auto; ssl_engine sdf; # 国密硬件加速支持[^1] load_module /usr/local/nginx/modules/ngx_stream_module.so; # 流模块[^1] events { worker_connections 1024; } http { # SSL 证书配置 server { listen 443 ssl; server_name yourdomain.com; # 国密双证书配置(或标准证书) ssl_certificate /etc/nginx/ssl/server_sign.crt; # 签名证书 ssl_certificate_key /etc/nginx/ssl/server_sign.key; ssl_certificate /etc/nginx/ssl/server_enc.crt; # 加密证书[^1] ssl_certificate_key /etc/nginx/ssl/server_enc.key; # 标准单证书配置(二选一) # ssl_certificate /etc/nginx/ssl/standard.crt; # ssl_certificate_key /etc/nginx/ssl/standard.key; # 安全协议优化 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers SM2-WITH-SMS4-SM3:ECDHE-RSA-AES256-GCM-SHA384; location / { proxy_pass http://backend-server:8080; # 后端服务地址 # 关键头信息传递(解决 Token 丢失问题) proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; # 允许带下划线的 Header[^4] underscores_in_headers on; } } # HTTP 强制跳转 HTTPS(可选) server { listen 80; server_name yourdomain.com; return 301 https://$host$request_uri; } } ``` #### 二、关键配置说明 1. **证书配置** - 国密 SSL:需双证书(签名证书+加密证书)[^1] - 标准 SSL:单证书即可 - 路径建议:`/etc/nginx/ssl/` 2. **Header 处理** - `underscores_in_headers on` 解决带下划线 Header(如 `user_token`)丢失问题[^4] - `X-Forwarded-*` 系列 Header 确保后端获取真实客户端信息 3. **安全强化** - 禁用弱协议:`ssl_protocols TLSv1.2 TLSv1.3` - 国密加密套件:`SM2-WITH-SMS4-SM3` - 标准加密套件:`ECDHE-RSA-AES256-GCM-SHA384` #### 三、操作流程 1. **证书放置** ```bash mkdir -p /etc/nginx/ssl cp server_*.crt server_*.key /etc/nginx/ssl/ # 国密四文件 ``` 2. **Docker 部署要点** ```dockerfile FROM nginx:alpine COPY nginx.conf /etc/nginx/nginx.conf COPY ssl/ /etc/nginx/ssl/ EXPOSE 80 443 ``` 启动命令: ```bash docker run -d -p 80:80 -p 443:443 \ -v /path/to/ssl:/etc/nginx/ssl:ro \ --name nginx-proxy nginx-proxy-image ``` 3. **配置生效** ```bash nginx -t # 验证配置 nginx -s reload # 热重载[^3] ``` #### 四、故障排查表 | 现象 | 解决方案 | 相关引用 | |---------------------|----------------------------|----------| | `400 Bad Request` | 添加 `underscores_in_headers on` | [^4] | | SSL 握手失败 | 检查证书路径和权限 | [^3] | | 后端获取 IP 错误 | 确认 `X-Real-IP` 头传递 | | | 国密算法不生效 | 验证 Nginx 国密模块编译 | [^1] | | Docker 端口冲突 | 检查 `-p` 映射参数 | [^2] | #### 五、证书自动化更新(推荐) ```bash # Let's Encrypt 示例 certbot renew --nginx --post-hook "nginx -s reload" ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值