通过https访问REST API

Question

我想通过https托管REST API。 REST Web服务可能会使用spring框架以java编写。

这些Web服务将被Java客户端（而不是Web浏览器）访问，可能使用org.apache.http库。

我没有清楚地了解使用SSL证书的情况。 我的问题是 -

1. 通过“https”托管REST Web服务将需要什么配置？
2. 客户端需要什么配置才能访问这些“https”URI？
3. 我是否需要为REST服务器购买受信任的SSL证书或打开java keygen才能做到这一点？
4. 我是否还需要REST客户端上的相同/不同的证书副本？

Answer 1

1. 没有特别的配置，你只需要https激活。

2. 没有特别的配置，你只需要小心使用检查证书的库。

3. 如果您编写客户端，您可以使用自签名客户端，并自定义客户端以检查它是否是您的证书。如果有人可以写一个客户，最好有一个公开信任的证书。警告：免费让我们加密证书不被Java信任！

4. 为什么你想要在你的客户端的证书？

端注：如果您的API是公开访问，我强烈建议你不要重定向HTTP到HTTPS反而使得HTTP系统回答错误。如果您不这样做，那么错误地使用http的开发人员将不会看到错误，并且会造成安全风险。