最近一直在忙新的项目,每天加班到8点多,都没来写博客了。新的项目遇到了很多问题,现在趁着突然停电来记录下调用https的问题吧。

我们服务主要是,我们调用数据源数据,并且再提供接口供外部数据调用。

我们提供给客户的接口采用https+post的方式,调用数据源的数据是以https的webservice。由于我们的签名是自签的,所以客户调用我们的接口要绕过安全认证,我们都要在sdk里面提供给他。

      private static volatile RestfulRemoteHttpsHelper instance;

      private ConnectionConfig connConfig;

      private SocketConfig socketConfig;

      private ConnectionSocketFactory plainSF;

      private KeyStore trustStore;

      private SSLContext sslContext;

      private LayeredConnectionSocketFactory sslSF;

      private Registry<ConnectionSocketFactory> registry;

      private PoolingHttpClientConnectionManager connManager;

      private volatile HttpClient client;

      private volatile BasicCookieStore cookieStore;

      public static String defaultEncoding= "utf-8";    

        private HttpsHelper(){

        //设置连接参数

        connConfig = ConnectionConfig.custom().setCharset(Charset.forName(defaultEncoding)).build();

        socketConfig = SocketConfig.custom().setSoTimeout(100000).build();

        RegistryBuilder<ConnectionSocketFactory> registryBuilder = RegistryBuilder.<ConnectionSocketFactory>create();

        plainSF = new PlainConnectionSocketFactory();

        registryBuilder.register("http", plainSF);

        //指定信任密钥存储对象和连接套接字工厂

        try {

            trustStore = KeyStore.getInstance(KeyStore.getDefaultType());

            sslContext = SSLContexts.custom().useTLS().loadTrustMaterial(trustStore, new AnyTrustStrategy()).build();

            sslSF = new SSLConnectionSocketFactory(sslContext, SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

            registryBuilder.register("https", sslSF);

        } catch (KeyStoreException e) {

            throw new RuntimeException(e);

        } catch (KeyManagementException e) {

            throw new RuntimeException(e);

        } catch (NoSuchAlgorithmException e) {

            throw new RuntimeException(e);

        }

        registry = registryBuilder.build();

        //设置连接管理器

        connManager = new PoolingHttpClientConnectionManager(registry);

        connManager.setDefaultConnectionConfig(connConfig);

        connManager.setDefaultSocketConfig(socketConfig);

        //指定cookie存储对象

        cookieStore = new BasicCookieStore();

        //构建客户端

        client= HttpClientBuilder.create().setDefaultCookieStore(cookieStore).setConnectionManager(connManager).build();

    }

上面代码是用httpClient4.3来绕过https的请求调用。

通过webservice调用数据源的数据由于他们有专门的信任证书签发,所以可以把他们的签名证书加入信任库。关于怎么根据keystore生成truststore可以使用jdk的keytool工具,在jdk安装目录下的bin文件夹里面。

keystore生成truststore:

通过cmd进入jdk的的bin目录下,输入keytool -export -alias 别名 -keystore client.keystore -rfc -file client.cer,会提示输入密码,别名和密码需要签名方提供。生成.cer文件,文件在jdk安装目录下。再输入keytool import -alias 别名 -file client.cer -keystore client.truststore生成truststore,记住输入的密码。

把keystore和truststore加入到信任库里。

     System.setProperty("javax.net.ssl.keyStore", keyPath);

        System.setProperty("javax.net.ssl.keyStorePassword", "key-password");

        System.setProperty("javax.net.ssl.trustStore", trustPath);

        System.setProperty("javax.net.ssl.trustStorePassword", "trust-password");

如果用axis做webservice的调用framework的话就可以使用了,这次我们用的是metro。

关于metro可以参考官网。https://metro.java.net

把metro加入到gradle依赖 --> compile 'org.glassfish.metro:webservices-rt:2.3'。

生成client代码调用?可以借助wsimport这个工具,注意在生成代码时,加上-keep 属性,不然只会生成class文件,而木有Java文件。

生成的文件目录:

把生成的client代码导入项目中,如果不出意外的话会报subject-alternative-names-present这个异常,如果是jdk8的话,用lambda表达式

HttpsURLConnection.setDefaultHostnameVerifier((hostname, session) -> hostname.equals("主机ip"));

如果是低版本,这样

HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier()

        {

            public boolean verify(String hostname, SSLSession session)

            {

                // ip address of the service URL(like.23.28.244.244)

                if (hostname.equals("主机ip"))

                    return true;

                return false;

            }

        });

现在可以测试了,测试代码

  @Test

    public void testMetro() {

        StopWatch clock = new StopWatch("metro clock");

        QueryService queryService = queryServiceService.getQueryService();

        for (int i = 0; i < 20; i++) {

            clock.start("start the " + i + "connection");

            String result = queryService.getMethod("xxx", "xxx", "xxx", "xxx", "xxx", "xxx", null, "xxx", null, null, null, null);

            System.out.println("the first number result :" + result);

            clock.stop();

        }

 }

为了测试性能,用到了StopWatch 这个类做时间计时器,关于StopWatch的使用搜索一大把。测试结果的效果不怎么样,因为这样是每次调用都握手,而握手的时间太长了。为了优化可以让连接keep-alive,详情参考官网

https://metro.java.net/guide/ch05.html#http-persistent-connections-keep-alive

在Java代码里实现,后面的value值可以根据实际情况来改变。

System.setProperty("http.keepAlive", "true");

System.setProperty("http.maxConnections", "250");

System.setProperty("keep-alive.max-connections", "1000");
测试结果
经过添加keep-alive,明显调用效果好了很多(这是我本机测试的,用nginx做了代理,实际部署到服务器还没测试,效果应该会更好)。
这里的webservice的性能还能再次优化,只是现在还没做。等优化好了再来记录!
语文水平不怎么样,东说一句西说一句,有点乱。关于这个项目的问题还有好多没能记录,有时间再来整理。

使用自定义签名的https的ssl安全问题解决和metro的webservice调用的更多相关文章

  1. 自签名证书安全性问题研究https(ssl)

    先看下https(ssl)的好处,以及为什么要用: http://imweb.io/topic/565c71673ad940357eb99879 https://zh.wikipedia.org/wi ...

  2. Java安全通信:HTTPS与SSL

    转载地址:http://www.cnblogs.com/devinzhang/archive/2012/02/28/2371631.html Java安全通信:HTTPS与SSL 1. HTTPS概念 ...

  3. Android 使Volley完美支持自定义证书的Https

    其实在最早的版本里,Volley甚至是不支持https协议的,只能跑http,当然你也可以自己修改他的源码让他支持,如今volley的代码经过一些改进以后, 已经可以完美支持https协议了,无论是在 ...

  4. HTTPS、SSL与数字证书介绍

    在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了.本文追本溯源围绕这个模式谈一谈. 名词解释 HTTPS:在HTTP(超文本传输协议)基础上提出的一种安全 ...

  5. [转]用Node.js创建自签名的HTTPS服务器

    用Node.js创建自签名的HTTPS服务器 创建自己的CA机构 创建服务器端证书 创建客户端证书 将证书打包 创建自己的CA机构 为CA生成私钥 openssl genrsa -out ca-key ...

  6. Https系列之二:https的SSL证书在服务器端的部署,基于tomcat,spring boot

    Https系列会在下面几篇文章中分别作介绍: 一:https的简单介绍及SSL证书的生成二:https的SSL证书在服务器端的部署,基于tomcat,spring boot三:让服务器同时支持http ...

  7. Https系列之四:https的SSL证书在Android端基于okhttp,Retrofit的使用

    Https系列会在下面几篇文章中分别作介绍: 一:https的简单介绍及SSL证书的生成二:https的SSL证书在服务器端的部署,基于tomcat,spring boot三:让服务器同时支持http ...

  8. [整理]HTTPS和SSL证书

    在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了.本文追本溯源围绕这个模式谈一谈. 名词解释 首先解释一下上面的几个名词: • https:在http(超 ...

  9. Android开发 - Retrofit 2 使用自签名的HTTPS证书进行API请求

    为了确保数据传输的安全,现在越来越多的应用使用Https的方式来进行数据传输,使用https有很多有点,比如: HTTPS协议是由SSL+HTTP协议构建的可进行加密传输.身份认证的网络协议,要比ht ...

随机推荐

  1. 【iCore3应用开发平台】发布 iCore3 应用开发平台PID控制代码

    说明:1.本代码包包含FPGA和STM32F407两部分内容2.FPGA工程为出厂代码FPGA工程,版本为REV43.STM32F407为只含PID控制的ARM工程4.在使用风扇过程中,请勿将手伸入扇 ...

  2. redis原子性读写操作之LUA脚本和watch机制

    最近在开发电商平台的子系统--储值卡系统,系统核心业务涉及到金额消费以及库存控制,因此为了解决建立在内存上高并发情况下的事务控制,使用了spring封装的RedisTemplate执行lua脚本进行原 ...

  3. [bzoj1087][scoi2005]互不侵犯king

    题目大意 在N×N的棋盘里面放K个国王,使他们互不攻击,共有多少种摆放方案.国王能攻击到它上下左右,以及左上 左下右上右下八个方向上附近的各一个格子,共8个格子. 思路 首先,搜索可以放弃,因为这是一 ...

  4. POJ2965

    #include <stdio.h> char map[4][4]; int map1[4][4]; int map2[4][4]; int num[16]; int min=1000,n ...

  5. window系统下,简单的FTP上传和下载操作

    先假设有一FTP服务器,FTP服务器:qint.ithot.net,用户名:username   密码:user1234.在本地电脑D:盘创建一个文件夹"qint".将要上传的文件 ...

  6. Android高级之十二讲之如何降低应用内存消耗

    安卓应用的内存往往是有限的,从开始的8M到16M,24M,32M,48M,64M等逐步变大,但内存的变大是由于分辨率的提高导致,并不意味着可以随意声明使用内存,而不及时回收(即使Java有自己的垃圾回 ...

  7. sublime 配置jade高亮显示

    1.下载 Package Control.sublime-package 文件放入Packages文件目录下 2.control + shift + p   输入install package 3. ...

  8. js弹出框,禁刷新

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/ ...

  9. 动态SQL语句之sp_executesql的使用

    sp_executesql,sql2005中引入的新的系统存储过程,也是用来处理动态sql的, 如: exec sp_executesql @sql, N'@item_name nvarchar(10 ...

  10. Android 基于Android的手机邮件收发(JavaMail)之二( Welcome.java 和 ReceiveAndSend.java )

    周末休息,这次我们继上次内容继续.上一篇内容我们讲述的是一些准备工作.下载两个javamail.jar和activation.jar文件,然后再BuildPath~ 言归正传,为了展示效果,在这里我申 ...