`

Nginx SSL+tomcat集群,request.getScheme() 取到https正确的协议

阅读更多

最近在做一个项目, 架构上使用了 Nginx +tomcat 集群, 且nginx下配置了SSL,tomcat no SSL,项目使用https协议

 

 


 

 

但是,明明是https url请求,发现 log里面,

 

 

0428 15:55:55 INFO  (PaymentInterceptor.java:44) preHandle() - requestStringForLog:    {
        "request.getRequestURL():": "http://trade.feilong.com/payment/paymentChannel?id=212&s=a84485e0985afe97fffd7fd7741c93851d83a4f6",
        "request.getMethod:": "GET",
        "_parameterMap":         {
            "id": ["212"],
            "s": ["a84485e0985afe97fffd7fd7741c93851d83a4f6"]
        }
    }
 
request.getRequestURL() 输出出来的 一直是  
http://trade.feilong.com/payment/paymentChannel?id=212&s=a84485e0985afe97fffd7fd7741c93851d83a4f6
 
但是浏览器中的URL却是
https://trade.feilong.com/payment/paymentChannel?id=212&s=a84485e0985afe97fffd7fd7741c93851d83a4f6

 

 

瞬间要颠覆我的Java观尴尬,API上写得很清楚:

 

getRequestURL():

 

Reconstructs the URL the client used to make the request. 

The returned URL contains a protocol, server name, port number, and server path, 
but it does not include query string parameters.

 

 

也就是说, getRequestURL() 输出的是不带query string的路经(含协议,端口,server path等信息).

 



 

 

并且,还发现

 

request.getScheme()  //总是 http,而不是实际的http或https
request.isSecure()  //总是false(因为总是http)
request.getRemoteAddr()  //总是 nginx 请求的 IP,而不是用户的IP
request.getRequestURL()  //总是 nginx 请求的URL 而不是用户实际请求的 URL
response.sendRedirect( 相对url )  //总是重定向到 http 上 (因为认为当前是 http 请求)

 

 

查阅了一些资料,找到了解决方案:

 

解决方法很简单,只需要分别配置一下 Nginx 和 Tomcat 就好了,而不用改程序。

 

配置 Nginx 的转发选项:

  

proxy_set_header       Host $host;
proxy_set_header  X-Real-IP  $remote_addr;
proxy_set_header  X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto  $scheme;
  

proxy_set_header X-Forwarded-Proto $scheme;

 

 

配置Tomcat server.xml 的 Engine 模块下配置一个 Valve:

<Valve className="org.apache.catalina.valves.RemoteIpValve"
remoteIpHeader="X-Forwarded-For"
protocolHeader="X-Forwarded-Proto"
protocolHeaderHttpsValue="https"/>

 

配置双方的 X-Forwarded-Proto 就是为了正确地识别实际用户发出的协议是 http 还是 https。

 

这样以上5项测试就都变为正确的结果了,就像用户在直接访问 Tomcat 一样。

 

关于 RemoteIpValve,有兴趣的同学可以阅读下 doc 

http://tomcat.apache.org/tomcat-6.0-doc/api/org/apache/catalina/valves/RemoteIpValve.html

 

Tomcat port of mod_remoteip, this valve replaces the apparent client remote IP address and hostname for the request with the IP address list presented by a proxy or a load balancer via a request headers (e.g. "X-Forwarded-For"). 
 
Another feature of this valve is to replace the apparent scheme (http/https) and server port with the scheme presented by a proxy or a load balancer via a request header (e.g. "X-Forwarded-Proto"). 

 

 

看了下他们的源码,比较简单,在各种框架,各种算法面前,这个类对性能影响很小

 

  • 如果没有配置protocolHeader 属性, 什么都不做.
  • 如果配置了protocolHeader,但是request.getHeader(protocolHeader)取出来的值是null,什么都不做
  • 如果配置了protocolHeader,但是request.getHeader(protocolHeader)取出来的值(忽略大小写)是配置的protocolHeaderHttpsValue(默认https),scheme设置为https,端口设置为 httpsServerPort
  • 其他设置为 http

 

            if (protocolHeader != null) {
                String protocolHeaderValue = request.getHeader(protocolHeader);
                if (protocolHeaderValue == null) {
                    // don't modify the secure,scheme and serverPort attributes
                    // of the request
                } else if (protocolHeaderHttpsValue.equalsIgnoreCase(protocolHeaderValue)) {
                    request.setSecure(true);
                    // use request.coyoteRequest.scheme instead of request.setScheme() because request.setScheme() is no-op in Tomcat 6.0
                    request.getCoyoteRequest().scheme().setString("https");
                    
                    request.setServerPort(httpsServerPort);
                } else {
                    request.setSecure(false);
                    // use request.coyoteRequest.scheme instead of request.setScheme() because request.setScheme() is no-op in Tomcat 6.0
                    request.getCoyoteRequest().scheme().setString("http");
                    
                    request.setServerPort(httpServerPort);
                }
            }

 

  

 

参考: 

 

SSL证书与Https应用部署小结

http://han.guokai.blog.163.com/blog/static/136718271201211631456811/

  • 大小: 21.2 KB
  • 大小: 9.5 KB
4
0
分享到:
评论
9 楼 飞天奔月 2018-08-21  
zuxianghuang 写道
解决问题了,谢谢



不客气
8 楼 zuxianghuang 2018-06-05  
解决问题了,谢谢
7 楼 lihui_shine 2016-12-26  
能帮忙看下吗
6 楼 lihui_shine 2016-12-26  
你好,我按照你的配置了,还是不行
我的nginx配置如下
server {
        listen      18443 ssl;
        server_name  localhost;
       ssl on;
        # access_log  logs/httpshost.access.log  main;
        ssl_certificate      my.crt;
        ssl_certificate_key  my.key;
        ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH:HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM;
        ssl_prefer_server_ciphers  on;
        location / {
            proxy_pass http://myserver;
            proxy_set_header Host $host;
            proxy_redirect http:// $scheme://;
            proxy_set_header X-Forwarded-Proto "https";
        }
    }


tomcat设置了
<Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="X-Forwarded-For" protocolHeader="X-Forwarded-Proto" protocolHeaderHttpsValue="https"/>


这样设置了还是不行
tomcat6、nginx1.8、jdk1.7
5 楼 leo_soul 2016-03-03  
哦 我找到办法了,只用NGINX的反向代理转发即可,tomcat和代码可不做配置。
nginx的配置文件内,当前SSL的location模块中加入
proxy_redirect  http://xxx.xxxxx.com https://xxx.xxxxx.com;
作用是,当上游的应用服务器,如tomcat接收到http请求返回数据后,补上的是http协议头,需要将其替换为https,域名/IP和端口号,用该命令也是可以重新替换的。这样反馈到客户端的就是你定义好的URL
需要注意的是,如TOMCAT中不配置valve,则程序中通过request获取包括协议、客户端IP等将是nginx的数据。程序中如有需要,可从HTTP协议头信息中获取,因为如文中所示,NGINX已配置了
proxy_set_header   Host             $host:$server_port;
proxy_set_header   X-Real-IP        $remote_addr; 
proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
这些信息都在HTTP头里,但request.getXXX()方法是直接从请求URL中获取信息的。
4 楼 leo_soul 2016-03-01  
同样问题,感谢你的共享。顺便问一下,如果我的端口不是443而是很多不同的端口,tomcat里能够动态获取吗?
3 楼 zweixiang 2016-03-01  
前端nginx https +tomcat http 非80端口配置方式​
Nginx增加以下配置
proxy_set_header Host $host:$server_port; 非80端口 ,用80端口时 不需要$server_port
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;


Tomcat server.xml配置
<Engine name="Catalina" defaultHost="localhost">
      <Valve className="org.apache.catalina.valves.RemoteIpValve"
             remoteIpHeader="X-Forwarded-For"
             protocolHeader="X-Forwarded-Proto"
             protocolHeaderHttpsValue="https"  httpsServerPort="7001"/> 非80端口时,必须增加httpsServerPort配置,不然request.getServerPort()方法返回 443.
</Engine>
2 楼 飞天奔月 2016-02-03  
dokia 写道
你好!我看你上面request.getRequestURL(),返回的url里面host是具体的域名,但是我配置后本地运行,request.getRequestURL()返回的url里面host是nginx.conf配置里面upstream后面的字符串值,请问你是怎么配置的?



我们有配置


proxy_set_header   Host             $host:$server_port;
proxy_set_header   X-Real-IP        $remote_addr; 
proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
proxy_next_upstream error timeout invalid_header http_502 http_504;


仅供参考
1 楼 dokia 2016-01-29  
你好!我看你上面request.getRequestURL(),返回的url里面host是具体的域名,但是我配置后本地运行,request.getRequestURL()返回的url里面host是nginx.conf配置里面upstream后面的字符串值,请问你是怎么配置的?

相关推荐

    基于ssm+shiro+redis+nginx tomcat服务器集群管理项目.zip

    基于ssm+shiro+redis+nginx tomcat服务器集群管理项目.zip基于ssm+shiro+redis+nginx tomcat服务器集群管理项目.zip基于ssm+shiro+redis+nginx tomcat服务器集群管理项目.zip基于ssm+shiro+redis+nginx tomcat服务器...

    CentOs7.3部署nginx+tomcat+redis集群说明.docx

    CentOs7.3部署nginx+tomcat+redis集群说明.docx

    Nginx+tomcat配置集群负载均衡实例

    在IT行业中,构建高效、可扩展的Web服务是至关重要的,而"Nginx+Tomcat"的组合常被用于实现这一目标。本实例将详细阐述如何通过Nginx配置集群负载均衡,以实现动静分离,提升系统性能和稳定性。 首先,Nginx是一款...

    Web服务器三剑客运维配置实战 Nginx+JVM+Tomcat+HTTP协议.zip

    Web服务器三剑客运维配置实战 Nginx+JVM+Tomcat+HTTP协议 视频教程+笔记+课件+资料 虽然在课程中还讲解了部分HTTP协议的技术,但是课程的重点还是NGINX、JVM、Tomcat三相运维与配置技术。课程内容包括了Nginx进阶...

    nginx+tomcat+ssl_https

    在构建高性能、高可用性的Web服务时,"nginx+tomcat+ssl_https"是一个常见的组合。这个组合将轻量级的Nginx反向代理服务器与强大的Java应用服务器Tomcat结合,同时通过SSL/TLS协议提供安全的HTTPS连接。下面我们将...

    Nginx+keepalived+tomcat集群搭建过程.doc

    【Nginx+Keepalived+Tomcat集群搭建】是一个实现服务器高可用和负载均衡的常见方案,旨在解决单点故障问题,防止服务因一台服务器宕机而导致整个系统的崩溃,即所谓的雪崩效应。 首先,我们需要四台服务器,两台...

    nginx1.8.1+tomcat7.0+redis3.2.100+redisManage 集群配置文件

    nginx1.8.1+tomcat7.0+redis3.2.100+redisManage 集群配置文件,内含tomcat-redis-session-manager1.2.jar(含jedis和commonspool2) session共享采用redis。

    nginx+tomcat+redis集群部署环境

    nginx+tomcat+redis集群部署环境,包括nginx tomcat redis及集群部署所需jar包,jedis-2.6.1.jar,commons-pool2-2.2.jar,tomcat-redis-session-manager1.2.jar 具体步骤可以参见我的博文

    Nginx+KeepAlived+Tomcat负载架构

    ### Nginx+KeepAlived+Tomcat负载架构详解 #### 一、概述 随着互联网应用的日益增多,单一服务器已经难以满足高并发、高可用性的需求。因此,越来越多的企业开始采用集群技术来提高系统的稳定性和扩展性。本文将...

    centOS8 安装LNMT(nginx+mysql+tomcat).pdf

    centOS8 安装LNMT(nginx+mysql+tomcat),此文档为本人原创的文档,有兴趣可以看一下: 本文在centos8基础上进行安装,软件版本如下: 名称 版本 安装方式 备注 jdk 13.0.2 rpm Oracle jdk,目前最新版本 nginx...

    Nginx+tomcat+redis

    在构建高性能、高可用性的Web服务时,"Nginx+Tomcat+Redis"的组合是一种常见的架构模式。这个架构充分利用了每个组件的优势,以实现高效的数据处理、动态内容渲染和负载均衡。以下是对这套技术栈的详细解释: 1. **...

    Nginx++Keepalived+Tomcat负载均衡&动静分离

    Nginx++Keepalived+Tomcat负载均衡&动静分离配置 本文主要介绍了Nginx、Keepalived和Tomcat的负载均衡和动静分离配置,旨在帮助读者了解如何搭建高可用、高性能的Web应用系统。 一、环境准备 在开始配置之前,...

    Liunx 下 nginx+tomcat 集群建设

    总结来说,Linux环境下通过Nginx+Tomcat集群建设,可以构建出一个高效、可扩展的Web服务架构,同时利用Nginx的反向代理功能和负载均衡策略,确保系统的稳定性和性能。在实际操作中,还需要根据具体业务需求进行定制...

    nginx+tomcat+redis完成session共享

    这个小例子"nginx+tomcat+redis完成session共享"旨在演示如何通过这三种技术实现跨服务器的用户会话共享,以提升用户体验并简化系统管理。以下是这些技术及其在会话共享中的作用: 1. **Nginx**:Nginx是一款高性能...

    Nginx+Tomcat+Memcached集群Session共享实例

    Nginx+Tomcat+Memcached集群Session共享实例,Nginx 1.81 + tomcat1 + tomcat2 + Memcached 完整可运行 访问根目录下 test.jsp 可看效果

    nginx+tomcat测试报告.doc

    Nginx+Tomcat架构测试报告 1. 测试目的 本次测试的主要目的是评估单个Tomcat服务器与Nginx反向代理结合后的性能表现,包括处理并发请求的能力、响应速度以及资源消耗等方面。通过对比分析,旨在优化服务器架构,...

    Nginx+Tomcat负载均衡企业实战.docx

    本文档主要介绍了 Nginx+Tomcat 负载均衡的企业实战,涵盖了从0开始构建 Nginx WEB 平台、Tomcat WEB 集群、代码发布、Nginx 负载均衡 Tomcat 集群、动静分离、Rewrite 实战等方面的内容。 一、从 0 开始构建 Nginx...

    tomcat+nginx集群

    在构建高性能、高可用性的Web服务时,"tomcat+nginx集群"是一个常见的架构模式。这个模式结合了Tomcat作为应用服务器处理Java EE应用程序,而Nginx则作为反向代理和负载均衡器,确保流量的高效分配和系统的稳定运行...

Global site tag (gtag.js) - Google Analytics