如何在Tomcat中实现HTTP到HTTPS的自动跳转-TopSSL

Tomcat中HTTP到HTTPS自动跳转的工程实现

在Tomcat中实现HTTP到HTTPS自动跳转，本质是通过容器级重定向策略强制将80端口请求转向443端口，而非依赖应用层逻辑。该机制需同时配置连接器（Connector）与安全约束（Security Constraint），且必须确保SSL/TLS连接器已正确启用并绑定有效证书。跳转行为由Tomcat的Coyote HTTP/1.1 Connector解析`redirectPort`属性触发，不经过Servlet过滤器链，因此性能开销极低且具备协议层可靠性。

该方案适用于所有基于Tomcat 8.5+ 的生产环境，包括使用 DV SSL证书或 OV SSL证书的HTTPS部署场景。

核心配置步骤

1. 编辑 `$CATALINA_HOME/conf/server.xml` - 确保存在启用TLS的Connector（如port="8443"或port="443"），且`SSLEnabled="true"`，`keystoreFile`指向有效JKS/PKCS12密钥库 - 在HTTP Connector（默认port="8080"）中设置`redirectPort="443"`（值须与HTTPS Connector的`port`一致）

在Web应用的WEB-INF/web.xml末尾添加安全约束：

<security-constraint>
  <web-resource-collection>
    <web-resource-name>Protected Context</web-resource-name>
    <url-pattern>/*</url-pattern>
  </web-resource-collection>
  <user-data-constraint>
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
  </user-data-constraint>
</security-constraint>

CONFIDENTIAL会触发Tomcat对所有匹配URL执行307 Temporary Redirect至HTTPS端口。

关键注意事项

- 若HTTPS Connector使用非标准端口（如8443），`redirectPort`必须显式设为该值，且客户端请求URL中不可省略端口号（浏览器对8443无默认识别） - 启用HTTP/2需额外配置`alpnImplementationName`及TLS 1.2+ 协议白名单，否则可能因ALPN协商失败导致跳转后连接中断 - 反向代理（如Nginx、AWS ALB）前置时，应禁用Tomcat原生跳转，改由代理层处理X-Forwarded-Proto头判断并重定向，避免循环跳转

维度	参考标准	工程师建议
协议兼容性	RFC 7231 §6.4.7（307语义）	优先使用307而非301，避免POST数据丢失；若需SEO永久重定向，应在反向代理层实现
HSTS支持	CA/B Forum BR 1.8.1（要求HSTS预加载）	在HTTPS Connector中添加`secure="true"`与`sendReasonPhrase="true"`，并在响应头注入`Strict-Transport-Security: max-age=31536000; includeSubDomains`
证书验证路径	RFC 5280 §6（证书链验证）	确保证书链完整，中间CA证书已导入JKS；缺失Intermediate会导致Chrome/Firefox显示NET::ERR_CERT_AUTHORITY_INVALID