在 spring boot 嵌入式 tomcat 中启用 mtls 后,无法通过 `javax.servlet.request.x509certificate` 获取客户端证书,根本原因是 servlet api 5.0+(jakarta ee 9+)已将包名从 `javax.*` 迁移至 `jakarta.*`,需使用新标准属性名。
Spring Boot 3.x(及底层依赖的 Tomcat 10+)全面采用 Jakarta EE 9+ 规范,所有 Servlet 相关类和常量均已迁移至 jakarta.servlet.* 命名空间。而 javax.servlet.request.X509Certificate 是旧版 Java EE(Servlet 4.0 及之前)中的属性键,在 Tomcat 10+ 中已被废弃且不再设置——即使 TLS 握手成功、客户端证书已验证通过,该属性值仍为 null,导致 NullPointerException。
✅ 正确做法是使用 Jakarta 标准属性名:
X509Certificate[] certs = (X509Certificate[]) request.getAttribute("jakarta.servlet.request.X509Certificate");
if (certs != null && certs.length > 0) {
System.out.println("Client certificate subject: " + certs[0].getSubjectDN());
} else {
System.out.println("No client certificate found — check mTLS handshake or client config.");
}⚠️ 注意事项:
- 不要依赖 @Autowired HttpServletRequest:HttpServletRequest 是线程绑定的请求作用域对象,不能直接注入到 Controller 类成员中(会导致空指针或上下文错误)。应始终通过方法参数传入(如 user(HttpServletRequest request)),这是 Spring MVC 的标准实践。
-
确保 client-auth: need 生效:你的 application.yml 配置正确,但需确认客户端(如 curl、Postman 或测试脚本)确实携带了受信任 CA 签发的有效证书。例如使用 curl 测试:
curl -k --cert client.pem --key client-key.pem https://localhost:8081/user
-
信任库配置建议分离:虽然你复用 server.p12 作为 trust-store,但生产环境应使用专用的信任库(仅含 CA 证书),避免私钥泄露风险。推荐生成独立 truststore:
keytool -importcert -file ca.crt -alias my-ca -keystore truststore.jks -storepass changeit
- X.509 认证与 Spring Security 的关系:你启用了 .x509() 配置,这意味着 Spring Security 会尝试基于证书进行身份认证(如提取 DN 作为用户名)。若仅需读取证书元数据(如用于审计、日志或自定义鉴权),无需开启 X509AuthenticationFilter;但若需将其集成进 Spring Security 用户体系,则需配合 UserDetailsService 解析证书信息(如 cert.getSubjectX500Principal().getName())。
? 补充验证技巧:
可在 Controller 中添加调试日志,确认证书是否真正到达容器层:
System.out.println("X509 attr key: jakarta.servlet.request.X509Certificate");
System.out.println("Attribute value: " + request.getAttribute("jakarta.servlet.request.X509Certificate"));
System.out.println("Is secure? " + request.isSecure()); // 应为 true
System.out.println("Protocol: " + request.getProtocol()); // 应为 HTTPS总结:升级到 Spring Boot 3.x / Tomcat 10+ 后,所有 Servlet 属性键、接口和注解均需遵循 Jakarta 命名规范。将 "javax.servlet.request.X509Certificate" 替换为 "jakarta.servlet.request.X509Certificate" 是解决 mTLS 证书读取为空的核心步骤,同时务必遵循请求对象的正确使用方式和安全配置最佳实践。
