Spring/Spring MVC/iBATIS 應用 HTTP 到 HTTPS 遷移技術方案

概述

本方案詳細介紹了將基于 Spring、Spring MVC 和 iBATIS 的傳統 Java Web 應用從 HTTP 遷移到 HTTPS 的完整流程。這種傳統架構的遷移需要考慮更多手動配置和兼容性問題。

一、環境評估與準備工作

1.1 當前環境分析

首先需要確認當前應用的技術棧和部署環境：

# 檢查當前應用的技術棧
- Spring Framework 版本: 3.x/4.x
- Spring MVC
- iBATIS 2.x (或早期 MyBatis)
- Servlet 容器: Tomcat 7.x/8.x
- Java 版本: 1.7/1.8
- 部署方式: WAR 包部署

1.2 遷移前檢查清單

• 確認應用中沒有硬編碼的 HTTP URL
• 檢查所有外部資源引用（CSS、JS、圖片等）
• 確認第三方集成支持 HTTPS
• 備份當前應用和配置文件
• 準備回滾方案

二、證書獲取與配置

2.1 證書選擇與獲取

對于傳統應用，推薦使用 Java Keystore (JKS) 格式的證書：

# 使用 keytool 生成自簽名證書（僅用于測試）
keytool -genkeypair -alias tomcat -keyalg RSA -keysize 2048 \-keystore tomcat.keystore -validity 3650 \-dname "CN=yourdomain.com, OU=IT, O=YourCompany, L=City, ST=State, C=CN" \-storepass changeit -keypass changeit# 生產環境應使用正式證書，可從 CA 購買或使用 Let's Encrypt

2.2 證書轉換（如需要）

如果已有 PEM 格式證書，轉換為 JKS 格式：

# 將 PEM 轉換為 PKCS12
openssl pkcs12 -export -in certificate.pem -inkey private.key \-out certificate.p12 -name tomcat -CAfile ca_bundle.pem -caname root# 將 PKCS12 轉換為 JKS
keytool -importkeystore -deststorepass changeit -destkeypass changeit \-destkeystore tomcat.keystore -srckeystore certificate.p12 \-srcstoretype PKCS12 -srcstorepass changeit -alias tomcat

三、Tomcat 服務器配置

3.1 server.xml 配置

編輯 Tomcat 的 conf/server.xml 文件，添加或修改 Connector 配置：

<!-- 在server.xml中添加HTTPS連接器 -->
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol"port="8443" maxThreads="200"scheme="https" secure="true" SSLEnabled="true"keystoreFile="${catalina.home}/conf/tomcat.keystore"keystorePass="changeit"clientAuth="false" sslProtocol="TLS"keyAlias="tomcat"ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA"
/><!-- 配置HTTP連接器重定向到HTTPS -->
<Connector port="8080" protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="8443" />

3.2 web.xml 配置

在應用的 WEB-INF/web.xml 中添加安全約束，強制使用 HTTPS：

<security-constraint><web-resource-collection><web-resource-name>Secure Content</web-resource-name><url-pattern>/*</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint>
</security-constraint>

四、應用層配置調整

4.1 Spring 配置更新

在 Spring 配置文件中確保應用正確處理 HTTPS：

<!-- 在applicationContext.xml或相關配置文件中 -->
<bean id="forceHttpsFilter" class="com.yourcompany.filters.ForceHttpsFilter"/><bean class="org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter"><property name="webBindingInitializer"><bean class="org.springframework.web.bind.support.ConfigurableWebBindingInitializer"><property name="validator" ref="validator"/></bean></property><!-- 確保URL生成使用HTTPS --><property name="messageConverters"><list><ref bean="mappingJacksonHttpMessageConverter"/></list></property>
</bean>

4.2 自定義 HTTPS 過濾器

創建自定義過濾器處理 HTTPS 重定向和協議頭：

package com.yourcompany.filters;import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;public class ForceHttpsFilter implements Filter {@Overridepublic void init(FilterConfig filterConfig) throws ServletException {// 初始化代碼}@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {HttpServletRequest httpRequest = (HttpServletRequest) request;HttpServletResponse httpResponse = (HttpServletResponse) response;// 檢查是否已經是HTTPSif (!httpRequest.isSecure()) {String requestURL = httpRequest.getRequestURL().toString();String redirectURL = requestURL.replaceFirst("http", "https").replaceFirst(":8080", ":8443");httpResponse.sendRedirect(redirectURL);return;}// 設置響應頭增強安全性httpResponse.setHeader("Strict-Transport-Security", "max-age=31536000; includeSubDomains");httpResponse.setHeader("X-Content-Type-Options", "nosniff");httpResponse.setHeader("X-Frame-Options", "DENY");httpResponse.setHeader("X-XSS-Protection", "1; mode=block");chain.doFilter(request, response);}@Overridepublic void destroy() {// 清理代碼}
}

4.3 更新所有硬編碼的 HTTP URL

檢查并更新代碼中所有硬編碼的 HTTP URL：

// 在屬性文件或配置類中定義基礎URL
public class AppConfig {public static final String BASE_URL = "https://yourdomain.com:8443";// 或者從配置文件讀取@Value("${app.baseUrl}")private String baseUrl;
}// 使用配置的URL而不是硬編碼
String apiUrl = AppConfig.BASE_URL + "/api/endpoint";

五、iBATIS/SQL Map 配置檢查

確保 iBATIS 配置中沒有硬編碼的 HTTP URL：

<!-- 檢查iBATIS配置文件中的任何URL引用 -->
<select id="getExternalData" parameterClass="java.lang.String" resultClass="java.util.HashMap"><!-- 確保沒有硬編碼的HTTP URL -->SELECT * FROM external_services WHERE protocol = 'https'
</select>

六、前端資源調整

6.1 更新所有資源引用

確保所有前端資源使用協議相對URL或HTTPS URL：

<%-- 在JSP頁面中 --%>
<!-- 使用協議相對URL -->
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.0/jquery.min.js"></script>
<!-- 或直接使用HTTPS -->
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap.min.css">

6.2 處理混合內容問題

添加內容安全策略頭防止混合內容：

// 在過濾器或攔截器中添加
response.setHeader("Content-Security-Policy", "default-src 'self' https:; " +"img-src 'self' https: data:; " +"script-src 'self' https: 'unsafe-inline' 'unsafe-eval'; " +"style-src 'self' https: 'unsafe-inline'");

七、部署與測試

7.1 部署流程

1. 備份當前應用和配置
2. 將證書文件復制到 Tomcat 的 conf 目錄
3. 更新 server.xml 和 web.xml 配置
4. 重新打包應用（如果需要更新代碼）
5. 部署應用到測試環境
6. 重啟 Tomcat 服務器

7.2 測試驗證

創建全面的測試計劃：

# 使用OpenSSL測試SSL連接
openssl s_client -connect yourdomain.com:8443 -servername yourdomain.com# 使用curl測試重定向
curl -I http://yourdomain.com:8080
# 應該返回301/302重定向到HTTPS# 測試HTTPS連接
curl -k https://yourdomain.com:8443

測試用例應包括：

• HTTP 到 HTTPS 的重定向
• 所有主要功能在 HTTPS 下的可用性
• 靜態資源加載（無混合內容警告）
• 表單提交和數據傳輸
• 會話保持和Cookie安全
• 第三方集成功能

八、監控與維護

8.1 日志配置

增強日志記錄以監控SSL相關問題：

<!-- 在log4j.properties或logback.xml中 -->
<logger name="org.apache.coyote.http11" level="DEBUG"/>
<logger name="org.apache.tomcat.util.net" level="INFO"/>

8.2 證書維護

設置證書過期提醒和續訂流程：

# 檢查證書過期日期
keytool -list -v -keystore tomcat.keystore | grep -i valid# 設置定期檢查任務（crontab）
0 0 1 * * /path/to/check_cert_expiry.sh

九、回滾方案

如果遷移遇到問題，按以下步驟回滾：

1. 恢復原來的 server.xml 配置
2. 移除 web.xml 中的安全約束
3. 恢復應用代碼中的URL引用
4. 重啟 Tomcat 服務器
5. 驗證應用恢復正常HTTP訪問

十、常見問題與解決方案

10.1 會話丟失問題

HTTPS 和 HTTP 的會話可能不共享，需要確保會話連續性：

// 在應用初始化時設置Cookie為安全
Cookie cookie = new Cookie("JSESSIONID", sessionId);
cookie.setSecure(true);
cookie.setHttpOnly(true);
response.addCookie(cookie);

10.2 性能考慮

SSL/TLS 加密會增加服務器負載，考慮：

1. 啟用 TLS 會話恢復
2. 使用更高效的加密算法
3. 考慮硬件SSL加速（如需要）

10.3 兼容性問題

確保所有客戶端和瀏覽器支持使用的加密算法：

<!-- 在server.xml中配置兼容的加密套件 -->
<Connectorciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA"
/>

總結

將傳統 Spring/Spring MVC/iBATIS 應用從 HTTP 遷移到 HTTPS 需要以下關鍵步驟：

1. 證書準備 - 獲取并配置合適的 SSL 證書
2. 服務器配置 - 修改 Tomcat 的 server.xml 和應用的 web.xml
3. 應用層調整 - 更新代碼中的 URL 引用，添加安全過濾器
4. 前端資源處理 - 確保所有資源使用 HTTPS 或協議相對 URL
5. 全面測試 - 驗證功能正常且無混合內容問題
6. 監控維護 - 設置證書過期監控和性能監控

與傳統 Spring Boot 應用相比，這種架構的遷移需要更多手動配置，但通過系統化的方法可以確保平穩過渡。務必在生產環境部署前進行充分的測試，并準備好回滾方案。