通过 Apache 反向代理的 Spring Boot 证书身份验证

Question

我已成功将 Apache (2.4.7) 配置为需要客户端证书，并且 - 作为反向代理 - 将证书中的信息转发到 Tomcat 8 服务器。

但是，当尝试使用 Spring Boot 完成相同的操作时，它会失败

The proxy server received an invalid response from an upstream server
The proxy server could not handle the request GET /myapp

并返回 HTTP 502 错误代码。

相关的、有效的 Tomcat 配置是：

<Connector SSLEnabled="true" clientAuth="want" keyAlias="myalias" 
keystoreFile="mystore.jks" keystorePass="mypassword" maxThreads="150" 
port="8443" protocol="HTTP/1.1" scheme="https" secure="true" 
sslProtocol="TLS" truststoreFile="mystore.jks" truststorePass="mypassword"/>

Spring Boot application.properties 文件中不起作用的相关部分：

server.context-path=/myapp
server.port=8443
server.ssl.enabled=true
server.use-forward-headers=true
server.ssl.protocol=TLS
server.ssl.client-auth=need
server.ssl.key-alias=myalias
server.ssl.key-store=/path/to/mykeystore.jks
server.ssl.key-store-password=mypassword
server.ssl.key-password=mypassword
server.ssl.trust-store=/path/to/mykeystore.jks
server.ssl.trust-store-password=mypassword

server.tomcat.remote-ip-header=x-forwarded-for
server.tomcat.port-header=x-forwarded-port

注意，当直接访问应用程序（即请求https://myapp.company.tld:12345/myapp）时，它可以正常工作，但使用反向代理（即https://proxy-load-balancer.company.tld:12345/myapp）会引发上述错误。

端口差异（12345 与配置的 8443）是由于中间 Docker 层：反向代理和应用程序都在容器中运行，并且它们的开放端口（Apache 为 443，Tomcat/Spring Boot 为 8443）被映射到不同的端口，即 12345。

Answer 1

好的，所以这一切都解决了。一、这个Spring的安全设置

server.ssl.client-auth=需要

将总是强制您的嵌入式 Tomcat 请求证书，因此在客户端 =>反向代理 =>Tomcat 的情况下，除非您使用 AJP，否则您将无法进行身份验证，不确定关于那个。

但事实证明，使用

server.ssl.client-auth=want

启用对您的请求的进一步处理，人们通常做的是在反向代理级别处理证书并将一些信息转发到后端服务器（Tomcat、Jetty 等）。

最后，开发人员不得不调整他们的 Spring Boot 应用程序来处理后一种操作模式，即从转发的 HTTP 请求的标头中提取数据并在此基础上进行身份验证。