一、HTTPS 与 HTTP/2 核心原理与优势在企业项目开发中HTTP 协议的明文传输缺陷的是数据安全的重大隐患而 HTTPS HTTP/2 是目前企业级项目的标准安全性能组合方案先搞懂底层逻辑再落地配置避免踩坑。1.1 HTTP 的致命缺陷HTTP 协议采用明文传输在数据从客户端到服务器的传输过程中存在3大核心安全问题完全无法满足企业等保2.0、用户隐私合规要求• 窃听风险数据明文传输中间人可直接抓包获取敏感信息如账号密码、手机号、交易数据• 篡改风险中间人可修改传输数据如篡改订单金额、接口返回结果导致业务异常• 劫持风险中间人可劫持请求跳转到恶意网站造成用户信息泄露、财产损失。1.2 HTTPS 核心原理HTTPSHyper Text Transfer Protocol Secure并非全新协议而是HTTP TLS/SSL 协议的组合核心作用是“加密传输、身份认证、防篡改”本质是在 HTTP 传输层之上增加了一层 SSL/TLS 加密层。HTTPS 加密流程1. 客户端发起 HTTPS 请求向服务器索要 SSL 证书2. 服务器返回自身的 SSL 证书包含公钥、服务器身份信息3. 客户端验证证书合法性是否过期、是否被篡改、是否由权威机构颁发4. 验证通过后客户端生成随机密钥用服务器公钥加密后发送给服务器5. 服务器用自身私钥解密得到随机密钥6. 双方后续所有通信均使用该随机密钥进行对称加密实现明文转密文传输。关键说明SSL 与 TLS 本质是同一类协议TLS 是 SSL 的升级版本目前主流使用 TLS 1.2/TLS 1.3已淘汰 SSL 3.0。1.3 HTTPS 核心作用• 传输加密所有数据均为密文传输中间人无法破解• 身份认证通过 SSL 证书确认服务器真实身份防止钓鱼网站• 防篡改数据传输过程中会进行校验一旦被篡改客户端会立即识别• 合规要求满足等保2.0、GDPR等隐私合规标准企业项目必配。1.4 HTTP/2 核心优势HTTP/2 是 HTTP 协议的重大升级必须基于 HTTPS 才能启用主流浏览器仅支持 HTTPS 下的 HTTP/2核心解决 HTTP 1.1 的性能瓶颈优势如下• 多路复用一个 TCP 连接可并发处理多个 HTTP 请求避免 HTTP 1.1 的“队头阻塞”问题大幅提升并发性能• 头部压缩对 HTTP 请求头进行 HPACK 压缩减少传输体积尤其适合频繁请求的接口• 二进制分帧将请求/响应数据拆分为二进制帧传输解析速度比 HTTP 1.1 的文本格式更快• 服务器推送服务器可提前推送客户端可能需要的资源如静态文件减少请求次数提升页面加载速度• 优先级设置可给不同请求设置优先级确保核心接口如支付、登录优先响应。实测对比HTTP/2 比 HTTP 1.1 接口响应速度提升 30%-50%高并发场景下优势更明显。二、SSL 证书详解与生成SSL 证书是 HTTPS 实现的核心相当于服务器的“身份凭证”分为「自签名证书」本地测试用和「权威机构证书」生产用两者区别、生成方法、使用场景全部讲透。2.1 SSL 证书类型对比证书类型适用场景优势劣势自签名证书本地开发、测试环境免费、生成快速、无需审核无权威机构认证浏览器提示“不安全”权威机构免费证书个人项目、小型企业、测试环境免费、权威认证、浏览器信任有效期短通常1年、仅支持单域名权威机构付费证书生产环境、企业项目、多域名场景有效期长、多域名支持、更高安全等级、售后保障需要付费、审核严格生产环境推荐阿里云、腾讯云申请免费权威证书如 Lets Encrypt、阿里云免费 SSL足够满足大部分企业需求大型企业、多域名场景可选择付费证书。2.2 方式1本地测试用自签名证书本地开发无需权威证书使用 JDK 自带的 keytool 工具即可快速生成步骤如下全程复制命令无需修改1. 打开终端Windows 用 CMD/PowerShellMac/Linux 用终端2. 进入 JDK 的 bin 目录若配置了 JDK 环境变量可直接在任意目录执行3. 执行生成命令密码统一设置为 123456方便后续配置keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -validity 3650 -keystore server.jks命令参数说明• -genkey生成密钥对• -alias tomcat证书别名后续配置需要用到可自定义建议保持 tomcat• -keyalg RSA加密算法主流 RSA安全性足够• -keysize 2048密钥长度2048位及以上安全性更高• -validity 3650证书有效期单位天3650天10年本地测试足够• -keystore server.jks生成的证书文件名及格式JKS 是 Java 常用格式。执行命令后会提示输入姓名、组织、城市等信息全部随便输入即可本地测试无需真实信息最后确认“是”即可生成 server.jks 文件。将生成的 server.jks 文件复制到 SpringBoot 项目的 resources 目录下直接放在根目录无需创建子文件夹。2.3 方式2生产环境权威证书生产环境必须使用权威机构颁发的证书否则浏览器会提示“不安全”影响用户信任这里以阿里云为例讲解免费证书的申请与下载流程腾讯云流程类似1. 登录阿里云控制台搜索“SSL证书”进入证书管理页面2. 点击“申请证书”选择“免费证书”Lets Encrypt 或阿里云免费版点击“立即申请”3. 填写域名信息如 www.xxx.com验证域名所有权推荐 DNS 验证操作最简单4. 验证通过后等待 1-10 分钟证书即可颁发5. 证书颁发后点击“下载”选择“JKS”格式SpringBoot 原生支持若用 Nginx 部署可选择 PEM 格式6. 下载后会得到两个文件xxx.jks证书文件和 keystorePassword.txt证书密码将 xxx.jks 重命名为 server.jks方便配置复制到项目 resources 目录下。注意生产证书有效期通常为 1 年到期前需提前续期阿里云会有提醒续期流程和申请一致免费续期。2.4 证书格式说明SpringBoot 支持多种 SSL 证书格式核心两种• JKSJava 原生格式无需额外依赖直接配置即可使用推荐• PFXWindows 常用格式兼容性更强若使用 PFX 证书需修改配置文件中的 key-store-type 为 PFX同时配置 key-store-password证书密码和 key-password私钥密码通常与证书密码一致。三、SpringBoot 开启 HTTPS HTTP/2SpringBoot 2.0 对 HTTPS 和 HTTP/2 提供了原生支持无需额外引入依赖仅需简单配置即可开启全程复制代码一步到位。3.1 pom.xml 依赖SpringBoot Web 依赖已内置 Tomcat 容器和 SSL 相关组件无需额外引入依赖核心依赖如下?xml version1.0 encodingUTF-8? project xmlnshttp://maven.apache.org/POM/4.0.0 xmlns:xsihttp://www.w3.org/2001/XMLSchema-instance xsi:schemaLocationhttp://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd modelVersion4.0.0/modelVersion parent groupIdorg.springframework.boot/groupId artifactIdspring-boot-starter-parent/artifactId version2.7.18/version !-- 与全系列版本统一 -- relativePath/ /parent groupIdcom.example/groupId artifactIdspringboot-https-http2/artifactId version0.0.1-SNAPSHOT/version namespringboot-https-http2/name properties java.version1.8/java.version /properties dependencies !-- Web 核心依赖内置 Tomcat、Jackson、SSL 组件 -- dependency groupIdorg.springframework.boot/groupId artifactIdspring-boot-starter-web/artifactId /dependency !-- Lombok 简化代码可选与全系列风格统一 -- dependency groupIdorg.projectlombok/groupId artifactIdlombok/artifactId optionaltrue/optional /dependency /dependencies /project3.2 application.yml 核心配置配置 HTTPS 端口、SSL 证书、HTTP/2注释详细可直接复制仅需修改证书密码生产环境替换为自己的证书密码server: # HTTPS 默认端口443生产环境必须用443浏览器可省略端口访问 port: 443 # 开启 HTTP/2 协议必须基于 HTTPS 才能生效 http2: enabled: true # SSL 证书核心配置 ssl: enabled: true # 开启 SSL 加密即开启 HTTPS key-store: classpath:server.jks # 证书文件路径resources 目录下 key-store-type: JKS # 证书格式JKS 或 PFX根据自己的证书修改 key-store-password: 123456 # 证书密码自签名证书是123456生产证书是下载时的密码 key-alias: tomcat # 证书别名与生成证书时的 -alias 一致 key-password: 123456 # 私钥密码通常与证书密码一致可省略默认与 key-store-password 相同 # 生产环境额外配置强加密套件提升安全性避免弱加密被攻击 ciphers: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 # 生产环境额外配置禁用不安全的 TLS 版本仅保留 TLS 1.2/TLS 1.3 enabled-protocols: TLSv1.2,TLSv1.33.3 启动测试1. 启动 SpringBoot 项目控制台无报错说明配置成功2. 打开浏览器访问https://localhost无需输入端口443是默认端口3. 本地自签名证书浏览器会提示“您的连接不是私密连接”点击“高级”→“继续访问”正常现象生产证书无此提示4. 生产权威证书浏览器地址栏会显示「小锁图标」说明 HTTPS 生效。四、HTTP 自动跳转 HTTPS用户习惯输入http://xxx.com如 http://localhost若不配置跳转会提示无法访问影响用户体验。企业项目必须配置所有 HTTP 请求80端口自动 302 跳转到 HTTPS 请求443端口实现全站 HTTPS。4.1 跳转配置类SpringBoot 默认使用 Tomcat 容器编写配置类开启 80 端口监听实现自动跳转代码可直接复制import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory; import org.springframework.boot.web.servlet.server.ServletWebServerFactory; import org.apache.catalina.connector.Connector; Configuration public class HttpToHttpsConfig { /** * 配置 HTTP 80 端口跳转 HTTPS 443 端口 */ Bean public ServletWebServerFactory servletWebServerFactory() { // 基于 Tomcat 容器配置 TomcatServletWebServerFactory tomcatFactory new TomcatServletWebServerFactory() { Override protected void postProcessContext(org.apache.catalina.Context context) { // 关闭 Tomcat 自身的 HTTP 缓存可选提升安全性 org.apache.catalina.webresources.StandardRoot root new org.apache.catalina.webresources.StandardRoot(context); root.setCacheMaxSize(0); context.setResources(root); } }; // 配置 HTTP 连接器监听 80 端口 Connector httpConnector new Connector(org.apache.coyote.http11.Http11NioProtocol); httpConnector.setScheme(http); // 协议类型 httpConnector.setPort(80); // HTTP 监听端口 httpConnector.setSecure(false); // 非安全连接HTTP 无加密 httpConnector.setRedirectPort(443); // 跳转目标端口HTTPS 443 端口 // 将 HTTP 连接器添加到 Tomcat 容器 tomcatFactory.addAdditionalTomcatConnectors(httpConnector); return tomcatFactory; } }4.2 跳转测试1. 重启 SpringBoot 项目配置类修改后需重启2. 打开浏览器访问http://localhost80端口3. 浏览器会自动跳转到https://localhost地址栏显示小锁图标跳转成功。4.3 注意事项• 确保 80 端口未被其他程序占用Windows 下可能被 IIS、迅雷等占用需关闭对应程序• redirectPort 必须设置为 443HTTPS 默认端口否则会出现跳转死循环• 若使用 Jetty/Undertow 容器需修改跳转配置本文以 Tomcat 为例主流企业项目均用 Tomcat。五、HTTP/2 开启验证与性能优化HTTP/2 已在 application.yml 中配置http2.enabled: true但需验证是否真正生效同时可做一些性能优化发挥 HTTP/2 的最大优势。5.1 HTTP/2 生效验证方法1Chrome 浏览器验证1. 访问https://localhost打开 Chrome 开发者工具F122. 切换到「Network」标签页刷新页面3. 查看「Protocol」列若显示「h2」说明 HTTP/2 开启成功若显示「http/1.1」说明未生效。方法2命令行验证执行以下命令查看响应头中的「HTTP/2」标识curl -I https://localhost若输出中包含「HTTP/2 200」说明 HTTP/2 生效。方法3在线工具验证访问在线 HTTPS 检测工具如 https://http2.pro/输入自己的域名工具会自动检测是否开启 HTTP/2同时检测证书合法性、加密套件等。5.2 HTTP/2 未生效的常见原因• 未开启 HTTPSHTTP/2 必须基于 HTTPS先确保 HTTPS 正常访问• SpringBoot 版本过低需 SpringBoot 2.4推荐 2.7.x与全系列统一• JDK 版本过低需 JDK 8u261JDK 8 低版本不支持 HTTP/2• 浏览器不支持主流浏览器Chrome、Firefox、Edge均支持IE 不支持 HTTP/2。5.3 HTTP/2 性能优化• 开启服务器推送配置 Tomcat 开启服务器推送提前推送静态资源如 CSS、JS减少请求次数• 启用头部压缩HTTP/2 默认开启 HPACK 头部压缩无需额外配置• 合并静态资源虽然 HTTP/2 支持多路复用但合并静态资源如合并 CSS、JS仍可减少请求数量提升性能• 启用 Gzip 压缩配置 SpringBoot 开启 Gzip 压缩进一步减少传输体积。Gzip 压缩配置添加到 application.ymlserver: compression: enabled: true # 开启 Gzip 压缩 mime-types: text/html,text/xml,text/plain,application/json,application/javascript # 压缩类型 min-response-size: 1024 # 最小压缩体积小于1KB不压缩六、生产环境最佳实践本地配置完成后生产环境部署需注意以下细节避免安全漏洞、性能瓶颈同时满足合规要求。6.1 端口与证书配置• 端口规范HTTPS 用 443 端口HTTP 用 80 端口禁止使用非标准端口• 证书选型使用权威机构免费/付费证书禁止在生产环境使用自签名证书• 证书存储生产环境证书不建议放在项目 resources 目录下建议放在服务器独立目录如 /usr/local/ssl并设置权限仅管理员可访问• 多域名支持若项目有多个域名如 www.xxx.com、api.xxx.com需申请多域名证书或配置多个 SSL 证书。6.2 安全加固配置1开启 HSTS 强制 HTTPSHSTSHTTP Strict Transport Security强制浏览器只能通过 HTTPS 访问即使用户输入 HTTP也会直接跳转 HTTPS避免中间人劫持配置如下添加到配置类import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; Configuration public class WebSecurityConfig implements WebMvcConfigurer { /** * 开启 HSTS 强制 HTTPS */ Bean public Filter hstsFilter() { return new Filter() { Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletResponse httpResponse (HttpServletResponse) response; // max-age31536000HSTS 有效期1年includeSubDomains包含所有子域名 httpResponse.setHeader(Strict-Transport-Security, max-age31536000; includeSubDomains); chain.doFilter(request, response); } }; } }2配置强加密套件禁用弱加密套件如 SSL 3.0、TLS 1.0/1.1仅保留强加密套件避免被攻击配置已在 application.yml 中添加再次强调server: ssl: ciphers: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 enabled-protocols: TLSv1.2,TLSv1.33关闭 Tomcat 版本泄露Tomcat 会在响应头中泄露版本信息可能被攻击者利用配置关闭server: tomcat: server-header: # 清空服务器响应头隐藏 Tomcat 版本6.3 证书续期与备份• 续期提醒免费证书有效期1年提前15-30天续期避免证书过期导致服务不可用• 证书备份下载证书后备份证书文件和密码避免丢失• 续期部署续期后替换服务器上的旧证书重启项目即可无需修改配置。6.4 容器部署适配Nginx SpringBoot企业生产环境通常用 Nginx 反向代理 SpringBoot 项目此时可将 HTTPS 配置在 Nginx 层面推荐SpringBoot 内部关闭 HTTPS仅提供 HTTP 服务流程如下1. SpringBoot 配置关闭 HTTPS端口改为 8080内部端口2. Nginx 配置开启 HTTPS、HTTP/2配置 80 跳转 443反向代理到 8080 端口3. 优势集中管理证书、支持负载均衡、提升并发性能。Nginx 核心配置示例参考server { listen 80; server_name www.xxx.com; # HTTP 跳转 HTTPS return 301 https://$host$request_uri; } server { listen 443 ssl http2; server_name www.xxx.com; # SSL 证书配置 ssl_certificate /usr/local/ssl/server.pem; # PEM 格式证书 ssl_certificate_key /usr/local/ssl/server.key; # 私钥 # 安全配置 ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256; ssl_prefer_server_ciphers on; add_header Strict-Transport-Security max-age31536000; includeSubDomains; # 反向代理到 SpringBoot 8080 端口 location / { proxy_pass http://localhost:8080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } }学习本就是一个长期积累的过程没有捷径唯有坚持。希望这些干货能够真正帮到你学以致用不断提升在自己的领域里越走越远。喜欢本文别忘了点赞、在看、转发我们下期干货继续