1、简介

Apache HttpClient是一个底层、轻量级的客户端HTTP库,用于与HTTP服务器进行通信。

在本教程中,我们将学习如何在使用HttpClient时配置支持的传输层安全(TLS)版本。

我们将首先概述TLS版本协商如何在客户端和服务器之间工作。

之后,我们将看看在使用HttpClient时配置支持的TLS版本的三种不同方式

2、TLS版本协商

TLS是一种互联网协议,可在两方之间提供安全、可信的通信。它封装了像HTTP这样的应用层协议。

TLS协议自1999年首次发布以来已多次修订。

因此,客户端和服务器在建立新连接时,首先就他们将使用的TLS版本达成一致非常重要。

TLS版本在客户端和服务器交换hello消息后达成一致:

  1. 客户端发送支持的 TLS 版本列表。
  2. 服务器选择一个并在响应中包含所选版本。
  3. 客户端和服务器使用所选版本继续连接设置。

由于存在降级攻击的风险,因此正确配置Web客户端支持的TLS版本非常重要。

请注意,为了使用最新版本的TLS(TLS 1.3),我们必须使用Java 11或更高版本

3、固定设置TLS版本

3.1、SSLConnectionSocketFactory

让我们通过HttpClients#custom定制构建方法提供的HttpClientBuilder,来定制我们的HTTPClient配置。

此构建器模式允许我们传入我们自己的SSLConnectionSocketFactory,它将根据一组所需支持的TLS版本进行实例化:

SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(

  SSLContexts.createDefault(),

  new String[] { "TLSv1.2", "TLSv1.3" },

  null,

  SSLConnectionSocketFactory.getDefaultHostnameVerifier());

CloseableHttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslsf).build();

返回的Httpclient对象现在可以执行HTTP请求了。

通过在SSLConnectionSocketFactory构造函数中显式设置支持的协议,客户端将仅支持通过TLS 1.2或TLS 1.3的通信。

请注意,在 Apache HttpClient 4.3 之前的版本中,该类称为SSLSocketFactory

3.2、Java运行时参数

另外,我们可以使用Java的https.protocols系统属性配置支持的TLS版本。

此方法可以防止必须将值硬编码到应用程序代码中。

相反,我们将配置HttpClient以在设置连接时使用该系统属性。

HttpClient API提供了两种方法来实现。第一个是通过HttpClients#createSystem

CloseableHttpClient httpClient = HttpClients.createSystem();

如果需要更多的客户端配置,我们可以使用builder方法代替:

CloseableHttpClient httpClient = HttpClients.custom().useSystemProperties().build();

这两种方法都告诉HttpClient在连接配置期间使用系统属性。

这允许我们在应用程序运行时使用命令行参数设置所需的TLS版本。例如:

$ java -Dhttps.protocols=TLSv1.1,TLSv1.2,TLSv1.3 -jar webClient.jar

4、动态设置TLS版本

还可以根据主机名和端口等连接详细信息设置TLS版本。我们将扩展SSLConnectionSocketFactory并覆盖prepareSocket方法。

客户端会在启动新连接之前调用prepareSocket方法,这将可以让我们在每个连接的基础上决定使用哪些TLS协议。

也可以启用对旧TLS版本的支持,但前提是远程主机具有特定的子域:

SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(SSLContexts.createDefault()){

    @Override

    protected void prepareSocket(SSLSocket socket) {

        String hostname = socket.getInetAddress().getHostName();

        if (hostname.endsWith("internal.system.com")){

            socket.setEnabledProtocols(new String[] { "TLSv1", "TLSv1.1", "TLSv1.2", "TLSv1.3" });

        }

        else {

            socket.setEnabledProtocols(new String[] {"TLSv1.3"});

        }

    }

};

CloseableHttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslsf).build();

在上面的示例中,prepareSocket方法首先获取SSLSocket将连接到的远程主机名,然后使用主机名来确定要启用的TLS协议。

现在,我们的HTTP客户端将对每个请求强制执行TLS 1.3,除了目标主机名的格式为*.internal.system.com

由于能够在创建新SSLSocket之前插入自定义逻辑,我们的应用程序现在可以自定义TLS通信的详细信息。

5、结论

在本文中,我们研究了在使用Apache HttpClient库时配置支持的TLS版本的三种不同方式。

我们已经了解了如何为所有连接或基于每个连接设置TLS版本。

原文:https://www.baeldung.com/apache-httpclient-tls

翻译:码农熊猫

更多技术干货,请访问我的个人网站https://pinmost.com,或关注公众号【码农熊猫】

如何在Apache HttpClient中设置TLS版本的更多相关文章

  1. 如何在Linux服务器中隐藏PHP版本

    通常,大多数默认设置安装的web服务器存在信息泄露,这其中之一就是PHP.PHP 是如今流行的服务端html嵌入式语言(之一?).在如今这个充满挑战的时代,有许多攻击者会尝试发现你服务端的漏洞.因此, ...

  2. 如何在 Apache Flink 中使用 Python API?

    本文根据 Apache Flink 系列直播课程整理而成,由 Apache Flink PMC,阿里巴巴高级技术专家 孙金城 分享.重点为大家介绍 Flink Python API 的现状及未来规划, ...

  3. 为何在font-family属性中设置多个值

    通常前端开发中会对body标签中设置font-family属性多个值,例如: body{padding:0;margin:0;font-size:12px;text-align:left;font-f ...

  4. 转--Android如何在java代码中设置margin

    ========  3 在Java代码里设置button的margin(外边距)? 1.获取按钮的LayoutParams LinearLayout.LayoutParams layoutParams ...

  5. 如何在Webstorm/Phpstorm中设置连接FTP,并快速进行文件比较,上传下载,同步等操作

    Phpstorm除了能直接打开localhost文件之外,还可以连接FTP,除了完成正常的数据传递任务之外,还可以进行本地文件与服务端文件的异同比较,同一文件自动匹配目录上传,下载,这些功能是平常ID ...

  6. apache服务器中设置目录不可访问

    <Directory "d:/amp/apache/htdocs/images">    Allow from all    Options None</Dire ...

  7. Android如何在java代码中设置margin

    习惯了直接在xml里设置margin(距离上下左右都是10dip),如: <ImageView android:layout_margin="10dip" android:s ...

  8. 如何在Quartus II中设置Virtual pin

    为了验证FPGA工程中的某个模块的功能和时序的正确性,常常需要对其单独进行验证,但是这些模块通常都与内部的众多信号相连(如系统总线,中断信号线等),往往一个模块的对外接口引脚会多达几百个,对其单独仿真 ...

  9. 如何在Windows系统中设置Python程序定时运行

    文章出处:http://blog.csdn.net/wwy11/article/details/51100432 首先,我们肯定是要用到Windows下的[计划任务]功能 之后点击右侧的[创建基本任务 ...

随机推荐

  1. 『言善信』Fiddler工具 — 3、Fiddler界面布局详解【菜单栏】

    目录 (一)Fiddler界面布局介绍 (二)菜单栏 1.File文件菜单: 2.Edit编辑菜单: 3.Rules规则菜单: 4.Tools工具菜单: 5.View视图菜单: 6.Help帮助菜单: ...

  2. 书列荐书 |《滚雪球:巴菲特和他的财富人生》【美】艾丽斯&#183;施罗德著

    一开始听说这本书比较不错,但是比较搞笑的是,我买了之后才发现还有个下册.于是我决定把书退回去,并用了两天的时间把它给看完了..基本看的差不多了. 沃伦·巴菲特从上小学,初中,高中就已经变得有经济头脑了 ...

  3. MLIR中间表示和编译器框架

    MLIR中间表示和编译器框架 TensorFlow生态系统包含许多在软件和硬件堆栈的多个级别上运行的编译器和优化器.作为TensorFlow的日常用户,使用不同类型的硬件(GPU,TPU,移动设备)时 ...

  4. YOLOV4知识点分析(一)

    YOLOV4知识点分析(一) 简 介 yolov4论文:YOLOv4: Optimal Speed and Accuracy of Object Detection arxiv:https://arx ...

  5. TensorFlow编程结构

    TensorFlow编程结构 TensorFlow 与其他编程语言非常不同. 首先通过将程序分为两个独立的部分,构建任何拟创建神经网络的蓝图,包括计算图的定义及其执行.起初这对于传统程序员来说看起来很 ...

  6. 如何在CPU上优化GEMM(下)

    如何在CPU上优化GEMM(下) Array Packing 另一个重要的技巧是数组打包.这个技巧是对数组的存储维度进行重新排序,将某个维度上的连续访问模式在平滑后转换为顺序模式. 如上图所示,在阻塞 ...

  7. 免费版对象存储【minIO】CentOS部署实践记录 2021

    好久没写,记录一下 1.背景 之前一直用的七牛,不过是收费的,然后有些定制化需求,可能比较看重预算,然后就有了这篇开源方式:minio 2.简介 官方文档:http://docs.minio.org. ...

  8. canal+mysql+kafka实时数据同步安装、配置

    canal+mysql+kafka安装配置 概述 简介 canal译意为水道/管道/沟渠,主要用途是基于 MySQL 数据库增量日志解析,提供增量数据订阅和消费. 基于日志增量订阅和消费的业务包括 数 ...

  9. 基于Colab Pro & Google Drive的Kaggle实战

    原文:https://hippocampus-garden.com/kaggle_colab/ 原文标题:How to Kaggle with Colab Pro & Google Drive ...

  10. mturoute 最大传输单元路由检测Host

    mturoute检测mtu字符 下载地址:https://www.elifulkerson.com/projects/mturoute.php mturoute.exe                ...