通过 https 的 REST API

Question

我想通过 https 托管 REST API。 REST Web 服务可能会使用 Spring 框架用 java 编写。

这些 Web 服务将由 Java 客户端（不是 Web 浏览器）访问，可能使用 org.apache.http lib。

我没有清楚地了解如何使用 SSL 证书。 我的问题是 -

1. 通过“https”托管 REST Web 服务需要哪些配置？
2. 客户端需要哪些配置才能访问这些“https”URI？
3. 我需要为 REST 服务器购买受信任的 SSL 证书还是打开 java keygen 才行？
4. REST 客户端上是否也需要相同/不同的证书副本？

Answer 1

1. 无需特别配置，开启https即可。

2. 无特殊配置，只需要注意使用检查证书的库即可。

3. 如果你写客户端，你可以使用一个自签名的，并自定义客户端来检查它是否是你的证书。如果任何人都可以编写客户端，最好有一个公开信任的证书。警告：免费的 let's encrypt 证书不受 java 信任！

4. 为什么要在客户端上获得证书？

旁注：如果您的 API 可公开访问，我强烈建议您不要将 http 重定向到 HTTPS，而是让 HTTP 系统地回答错误。如果您不这样做，错误地使用 http 的开发人员将不会看到错误，并且会产生安全风险。