通過https訪問REST API

Question

我想通過https託管REST API。 REST Web服務可能會使用spring框架以java編寫。

這些Web服務將被Java客戶端（而不是Web瀏覽器）訪問，可能使用org.apache.http庫。

我沒有清楚地瞭解使用SSL證書的情況。 我的問題是 -

1. 通過「https」託管REST Web服務將需要什麼配置？
2. 客戶端需要什麼配置才能訪問這些「https」URI？
3. 我是否需要爲REST服務器購買受信任的SSL證書或打開java keygen才能做到這一點？
4. 我是否還需要REST客戶端上的相同/不同的證書副本？

Answer 1

1. 沒有特別的配置，你只需要https激活。

2. 沒有特別的配置，你只需要小心使用檢查證書的庫。

3. 如果您編寫客戶端，您可以使用自簽名客戶端，並自定義客戶端以檢查它是否是您的證書。如果有人可以寫一個客戶，最好有一個公開信任的證書。警告：免費讓我們加密證書不被Java信任！

4. 爲什麼你想要在你的客戶端的證書？

端注：如果您的API是公開訪問，我強烈建議你不要重定向HTTP到HTTPS反而使得HTTP系統回答錯誤。如果您不這樣做，那麼錯誤地使用http的開發人員將不會看到錯誤，並且會造成安全風險。