Spring 引导:从 HTTP 重定向到 HTTPS 导致 PUT 方法出现 405 错误
Spring Boot: redirect from HTTP to HTTPS results in 405 error for PUT method
我有一个与这个非常相似的问题:
基本上,我试图通过从 HTTP 到 HTTPS 的重定向使 Spring Boot 服务于 HTTP 和 HTTPS。它有效,但仅适用于 GET 请求。如果我执行 PUT 请求,我会收到 "Request method 'GET' not supported" 错误,所以看起来我的 PUT 请求正在以某种方式转换为 GET 请求。
我尝试了两种配置此类重定向的方法:在 application.properties 中定义 HTTPS 连接,然后以编程方式添加 HTTP,反之亦然。两者都不起作用。
这是第一种方法:
@Bean
public EmbeddedServletContainerFactory tomcatEmbeddedServletContainerFactory() {
TomcatEmbeddedServletContainerFactory factory = new TomcatEmbeddedServletContainerFactory() {
@Override
protected void postProcessContext(Context context) {
SecurityConstraint securityConstraint = new SecurityConstraint();
securityConstraint.setUserConstraint("CONFIDENTIAL");
SecurityCollection collection = new SecurityCollection();
collection.addPattern("/*");
securityConstraint.addCollection(collection);
context.addConstraint(securityConstraint);
}
};
addHTTPConnector(factory);
return factory;
}
private void addHTTPConnector(TomcatEmbeddedServletContainerFactory factory) {
Connector connector = new Connector(TomcatEmbeddedServletContainerFactory.DEFAULT_PROTOCOL);
connector.setScheme("http");
connector.setPort(8080);
connector.setRedirectPort(8443);
connector.setSecure(false);
Http11NioProtocol protocol = (Http11NioProtocol) connector.getProtocolHandler();
protocol.setSSLEnabled(false);
factory.addAdditionalTomcatConnectors(connector);
}
与application.properties:
server.port=8443
server.ssl.key-store=keystore.p12
server.ssl.key-store-password=password
server.ssl.keyStoreType=PKCS12
server.ssl.keyAlias=alias
这是第二种方法:
@Bean
public EmbeddedServletContainerFactory tomcatEmbeddedServletContainerFactory() {
TomcatEmbeddedServletContainerFactory factory = new TomcatEmbeddedServletContainerFactory() {
@Override
protected void postProcessContext(Context context) {
SecurityConstraint securityConstraint = new SecurityConstraint();
securityConstraint.setUserConstraint("CONFIDENTIAL");
SecurityCollection collection = new SecurityCollection();
collection.addPattern("/*");
securityConstraint.addCollection(collection);
context.addConstraint(securityConstraint);
}
};
addHTTPSConnector(factory);
factory.addConnectorCustomizers((TomcatConnectorCustomizer) connector -> connector.setRedirectPort(8443));
return factory;
}
private void addHTTPSConnector(TomcatEmbeddedServletContainerFactory factory) {
Connector connector = new Connector(TomcatEmbeddedServletContainerFactory.DEFAULT_PROTOCOL);
connector.setScheme("https");
connector.setPort(8443);
connector.setSecure(true);
Http11NioProtocol protocol = (Http11NioProtocol) connector.getProtocolHandler();
protocol.setSSLEnabled(true);
protocol.setKeystoreFile("keystore.p12");
protocol.setKeystorePass("password");
protocol.setKeystoreType("pkcs12");
protocol.setKeystoreProvider("SunJSSE");
protocol.setKeyAlias("alias");
factory.addAdditionalTomcatConnectors(connector);
}
两者我都有
@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requiresChannel().anyRequest().requiresSecure();
}
}
为了使重定向工作。
我也看到了这个回答:
但我不知道"DEFAULT_PROTOCOL"常数是什么。我尝试在那里添加所有方法(POST、PUT、DELETE、GET 等),但没有帮助。
重定向专门用于通知客户端(例如网络浏览器)使用给定的 URL 执行 GET 请求,因此重定向的结果不能是 PUT 、POST、DELETE 或任何其他 HTTP 方法。
在这种情况下,重定向到 HTTPS 的主要目的是保护连接免受窥探,即确保没有人可以看到机密信息。这适用于 GET,因为您还没有发送机密信息 1,假设它是包含机密信息的响应。
将 PUT 或 POST 重定向到 HTTPS 是没有意义的,因为您 已经 通过不安全的连接发送了有效负载(机密数据)。
您的客户端需要被告知在发送数据之前使用 HTTPS ,即当它构建 PUT / POST 请求时,它需要获得 HTTPS URL.
修复客户端代码,例如生成 HTTP PUT 的 JavaScript 代码,因此它使用 HTTPS。重定向为时已晚,而且完全错误。
PUT 重定向失败实际上是一件好事,因为它迫使您正确保护您的 Web 应用程序。如果它没有失败,您会错误地认为您的 Web 应用程序受到重定向的保护,但实际上并非如此。
1) GET 也可以包含机密信息,例如在查询字符串中。如果是这样,它就不应该使用 HTTP 发送,因此在这种情况下,保护 PUT / POST 的规则也适用于 GET。
我有一个与这个非常相似的问题:
基本上,我试图通过从 HTTP 到 HTTPS 的重定向使 Spring Boot 服务于 HTTP 和 HTTPS。它有效,但仅适用于 GET 请求。如果我执行 PUT 请求,我会收到 "Request method 'GET' not supported" 错误,所以看起来我的 PUT 请求正在以某种方式转换为 GET 请求。
我尝试了两种配置此类重定向的方法:在 application.properties 中定义 HTTPS 连接,然后以编程方式添加 HTTP,反之亦然。两者都不起作用。
这是第一种方法:
@Bean
public EmbeddedServletContainerFactory tomcatEmbeddedServletContainerFactory() {
TomcatEmbeddedServletContainerFactory factory = new TomcatEmbeddedServletContainerFactory() {
@Override
protected void postProcessContext(Context context) {
SecurityConstraint securityConstraint = new SecurityConstraint();
securityConstraint.setUserConstraint("CONFIDENTIAL");
SecurityCollection collection = new SecurityCollection();
collection.addPattern("/*");
securityConstraint.addCollection(collection);
context.addConstraint(securityConstraint);
}
};
addHTTPConnector(factory);
return factory;
}
private void addHTTPConnector(TomcatEmbeddedServletContainerFactory factory) {
Connector connector = new Connector(TomcatEmbeddedServletContainerFactory.DEFAULT_PROTOCOL);
connector.setScheme("http");
connector.setPort(8080);
connector.setRedirectPort(8443);
connector.setSecure(false);
Http11NioProtocol protocol = (Http11NioProtocol) connector.getProtocolHandler();
protocol.setSSLEnabled(false);
factory.addAdditionalTomcatConnectors(connector);
}
与application.properties:
server.port=8443
server.ssl.key-store=keystore.p12
server.ssl.key-store-password=password
server.ssl.keyStoreType=PKCS12
server.ssl.keyAlias=alias
这是第二种方法:
@Bean
public EmbeddedServletContainerFactory tomcatEmbeddedServletContainerFactory() {
TomcatEmbeddedServletContainerFactory factory = new TomcatEmbeddedServletContainerFactory() {
@Override
protected void postProcessContext(Context context) {
SecurityConstraint securityConstraint = new SecurityConstraint();
securityConstraint.setUserConstraint("CONFIDENTIAL");
SecurityCollection collection = new SecurityCollection();
collection.addPattern("/*");
securityConstraint.addCollection(collection);
context.addConstraint(securityConstraint);
}
};
addHTTPSConnector(factory);
factory.addConnectorCustomizers((TomcatConnectorCustomizer) connector -> connector.setRedirectPort(8443));
return factory;
}
private void addHTTPSConnector(TomcatEmbeddedServletContainerFactory factory) {
Connector connector = new Connector(TomcatEmbeddedServletContainerFactory.DEFAULT_PROTOCOL);
connector.setScheme("https");
connector.setPort(8443);
connector.setSecure(true);
Http11NioProtocol protocol = (Http11NioProtocol) connector.getProtocolHandler();
protocol.setSSLEnabled(true);
protocol.setKeystoreFile("keystore.p12");
protocol.setKeystorePass("password");
protocol.setKeystoreType("pkcs12");
protocol.setKeystoreProvider("SunJSSE");
protocol.setKeyAlias("alias");
factory.addAdditionalTomcatConnectors(connector);
}
两者我都有
@Configuration
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.requiresChannel().anyRequest().requiresSecure();
}
}
为了使重定向工作。
我也看到了这个回答:
但我不知道"DEFAULT_PROTOCOL"常数是什么。我尝试在那里添加所有方法(POST、PUT、DELETE、GET 等),但没有帮助。
重定向专门用于通知客户端(例如网络浏览器)使用给定的 URL 执行 GET 请求,因此重定向的结果不能是 PUT 、POST、DELETE 或任何其他 HTTP 方法。
在这种情况下,重定向到 HTTPS 的主要目的是保护连接免受窥探,即确保没有人可以看到机密信息。这适用于 GET,因为您还没有发送机密信息 1,假设它是包含机密信息的响应。
将 PUT 或 POST 重定向到 HTTPS 是没有意义的,因为您 已经 通过不安全的连接发送了有效负载(机密数据)。
您的客户端需要被告知在发送数据之前使用 HTTPS ,即当它构建 PUT / POST 请求时,它需要获得 HTTPS URL.
修复客户端代码,例如生成 HTTP PUT 的 JavaScript 代码,因此它使用 HTTPS。重定向为时已晚,而且完全错误。
PUT 重定向失败实际上是一件好事,因为它迫使您正确保护您的 Web 应用程序。如果它没有失败,您会错误地认为您的 Web 应用程序受到重定向的保护,但实际上并非如此。
1) GET 也可以包含机密信息,例如在查询字符串中。如果是这样,它就不应该使用 HTTP 发送,因此在这种情况下,保护 PUT / POST 的规则也适用于 GET。