Java通过SSLEngine与NIO实现HTTPS访问
Java使用NIO进行HTTPS协议访问的时候,离不开SSLContext和SSLEngine两个类。我们只需要在Connect操作、Connected操作、Read和Write操作中加入SSL相关的处理即可。
一、连接服务器之前先初始化SSLContext并设置证书相关的操作。
1 public void Connect(String host, int port) {
2 mSSLContext = this.InitSSLContext();
3 super.Connect(host, port);
4 }
在连接服务器前先创建SSLContext对象,并进行证书相关的设置。如果服务器不是使用外部公认的认证机构生成的密钥,可以使用基于公钥CA的方式进行设置证书。如果是公认的认证证书一般只需要加载Java KeyStore即可。
1.1 基于公钥CA
1 public SSLContext InitSSLContext() throws NoSuchAlgorithmException{
2 // 创建生成x509证书的对象
3 CertificateFactory caf = CertificateFactory.getInstance("X.509");
4 // 这里的CA_PATH是服务器的ca证书,可以通过浏览器保存Cer证书(Base64和DER都可以)
5 X509Certificate ca = (X509Certificate)caf.generateCertificate(new FileInputStream(CA_PATH));
6 KeyStore caKs = KeyStore.getInstance("JKS");
7 caKs.load(null, null);
8 // 将上面创建好的证书设置到仓库里面,前面的`baidu-ca`只是一个别名可以任意不要出现重复即可。
9 caKs.setCertificateEntry("baidu-ca", ca);
10 TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
11 tmf.init(caKs);
12 // 最后创建SSLContext,将可信任证书列表传入。
13 SSLContext context = SSLContext.getInstance("TLSv1.2");
14 context.init(null, tmf.getTrustManagers(), null);
15 return context;
16 }
1.2 加载Java KeyStore
1 public SSLContext InitSSLContext() throws NoSuchAlgorithmException{
2 // 加载java keystore 仓库
3 KeyStore caKs = KeyStore.getInstance("JKS");
4 // 把生成好的jks证书加载进来
5 caKs.load(new FileInputStream(CA_PATH), PASSWORD.toCharArray());
6 // 把加载好的证书放入信任的列表
7 TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
8 tmf.init(caKs);
9 // 最后创建SSLContext,将可信任证书列表传入。
10 SSLContext context = SSLContext.getInstance("TLSv1.2");
11 context.init(null, tmf.getTrustManagers(), null);
12 return context;
13 }
二、连接服务器成功后,需要创建SSLEngine对象,并进行相关设置与握手处理。
通过第一步生成的SSLContext创建SSLSocketFactory并将当前的SocketChannel进行绑定(注:很多别人的例子都没有这步操作,如果只存在一个HTTPS的连接理论上没有问题,但如果希望同时创建大量的HTTPS请求“可能”有问题,因为SSLEngine内部使用哪个Socket进行操作数据是不确定,如果我的理解有误欢迎指正)。
然后调用创建SSLEngine对象,并初始化操作数据的Buffer,然后开始进入握手阶段。(注:这里创建的Buffer主要用于将应用层数据加密为网络数据,将网络数据解密为应用层数据使用:“密文与明文”)。
1 public final void OnConnected() {
2 super.OnConnected();
3 // 设置socket,并创建SSLEngine,开始握手
4 SSLSocketFactory fx = mSSLContext.getSocketFactory();
5 // 这里将自己的channel传进去
6 fx.createSocket(mSocketChannel.GetSocket(), mHost, mPort, false);
7 mSSLEngine = this.InitSSLEngine(mSSLContext);
8 // 初始化使用的BUFFER
9 int appBufSize = mSSLEngine.getSession().getApplicationBufferSize();
10 int netBufSize = mSSLEngine.getSession().getPacketBufferSize();
11 mAppDataBuf = ByteBuffer.allocate(appBufSize);
12 mNetDataBuf = ByteBuffer.allocate(netBufSize);
13 pAppDataBuf = ByteBuffer.allocate(appBufSize);
14 pNetDataBuf = ByteBuffer.allocate(netBufSize);
15 // 初始化完成,准备开启握手
16 mSSLInitiated = true;
17 mSSLEngine.beginHandshake();
18 this.ProcessHandShake(null);
19 }
三、进行握手操作
下图简单展示了握手流程,由客户端发起,通过一些列的数据交换最终完成握手操作。要成功与服务器建立连接,握手流程是非常重要的环节,幸好SSEngine内部已经实现了证书验证、交换等步骤,我们只需要在其上层执行特定的行为(握手状态处理)。

3.1 握手相关状态(来自getHandshakeStatus方法)
NEED_WRAP 当前握手状态表示需要加密数据,即将要发送的应用层数据加密输出为网络层数据,并执行发送操作。
NEED_UNWRAP 当前握手状态表示需要对数据进行解密,即将收到的网络层数据解密后成应用层数据。
NEED_TASK 当前握手状态表示需要执行任务,因为有些操作可能比较耗时,如果不希望造成阻塞流程就需要开启异步任务进行执行。
FINISHED 当前握手已完成
NOT_HANDSHAKING 表示不需要握手,这个主要是再次连接时,为了加快速度而跳过握手流程。
3.2 处理握手的方法
以下代码展示了握手流程中的各种状态的处理,主要的逻辑就是如果需要加密就执行加密操作,如果需要执行解密就执行解密操作(废话@_@!)。
1 protected void ProcessHandShake(SSLEngineResult result){
2 if(this.isClosed() || this.isShutdown()) return;
3 // 区分是来此WRAP UNWRAP调用,还是其他调用
4 SSLEngineResult.HandshakeStatus status;
5 if(result != null){
6 status = result.getHandshakeStatus();
7 }else{
8 status = mSSLEngine.getHandshakeStatus();
9 }
10 switch(status)
11 {
12 // 需要加密
13 case NEED_WRAP:
14 //判断isOutboundDone,当true时,说明已经不需要再处理任何的NEED_WRAP操作了.
15 // 因为已经显式调用过closeOutbound,且就算执行wrap,
16 // SSLEngineReulst.STATUS也一定是CLOSED,没有任何意义
17 if(mSSLEngine.isOutboundDone()){
18 // 如果还有数据则发送出去
19 if(mNetDataBuf.position() > 0) {
20 mNetDataBuf.flip();
21 mSocketChannel.WriteAndFlush(mNetDataBuf);
22 }
23 break;
24 }
25 // 执行加密流程
26 this.ProcessWrapEvent();
27 break;
28 // 需要解密
29 case NEED_UNWRAP:
30 //判断inboundDone是否为true, true说明peer端发送了close_notify,
31 // peer发送了close_notify也可能被unwrap操作捕获到,结果就是返回的CLOSED
32 if(mSSLEngine.isInboundDone()){
33 //peer端发送关闭,此时需要判断是否调用closeOutbound
34 if(mSSLEngine.isOutboundDone()){
35 return;
36 }
37 mSSLEngine.closeOutbound();
38 }
39 break;
40 case NEED_TASK:
41 // 执行异步任务,我这里是同步执行的,可以弄一个异步线程池进行。
42 Runnable task = mSSLEngine.getDelegatedTask();
43 if(task != null){
44 task.run();
45 // executor.execute(task); 这样使用异步也是可以的,
46 //但是异步就需要对ProcessHandShake的调用做特殊处理,因为异步的,像下面这直接是会导致疯狂调用。
47 }
48 this.ProcessHandShake(null); // 继续处理握手
49 break;
50 case FINISHED:
51 // 握手完成
52 mHandshakeCompleted = true;
53 this.OnHandCompleted();
54 return;
55 case NOT_HANDSHAKING:
56 // 不需要握手
57 if(!mHandshakeCompleted)
58 {
59 mHandshakeCompleted = true;
60 this.OnHandCompleted();
61 }
62 return;
63 }
64 }
四、数据的发送与接收
握手成功后就可以进行正常的数据发送与接收,但是需要额外在数据发送的时候进行加密操作,数据接收后进行解密操作。
这里需要额外说明一下,在握手期间也是会需要读取数据的,因为服务器发送过来的数据需要我们执行读取并解密操作。而这个操作在一些其他的例子中直接使用了阻塞的读取方式,我这里则是放在OnRead事件调用后进行处理,这样才符合NIO模型。
4.1 加密操作(SelectionKey.OP_WRITE)
1 protected void ProcessWrapEvent(){
2 if(this.isClosed() || this.isShutdown()) return;
3 SSLEngineResult result = mSSLEngine.wrap(mAppDataBuf, mNetDataBuf);
4 // 处理result
5 if(ProcessSSLStatus(result, true)){
6 mNetDataBuf.flip();
7 mSocketChannel.WriteAndFlush(mNetDataBuf);
8 // 发完成后清空buffer
9 mNetDataBuf.clear();
10 }
11 mAppDataBuf.clear();
12 // 如果没有握手完成,则继续调用握手处理
13 if(!mHandshakeCompleted)
14 this.ProcessHandShake(result);
15 }
4.2 解密操作(SelectionKey.OP_READ)
1 protected void ProcessUnWrapEvent(){
2 if(this.isClosed() || this.isShutdown()) return;
3 do{
4 // 执行解密操作
5 SSLEngineResult res = mSSLEngine.unwrap(pNetDataBuf, pAppDataBuf);
6 if(!ProcessSSLStatus(res, false))
7 // 这里不需要对`pNetDataBuf`进行处理,因为ProcessSSLStatus里面已经做好处理了。
8 return;
9 if(res.getStatus() == Status.CLOSED)
10 break;
11 // 未完成握手时,需要继续调用握手处理
12 if(!mHandshakeCompleted)
13 this.ProcessHandShake(res);
14 }while(pNetDataBuf.hasRemaining());
15 // 数据都解密完了,这个就可以清空了。
16 if(!pNetDataBuf.hasRemaining())
17 pNetDataBuf.clear();
18 }
文章来自我的公众号,大家如果有兴趣可以关注,具体扫描关注下图。

Java通过SSLEngine与NIO实现HTTPS访问的更多相关文章
- Tomcat创建HTTPS访问,java访问https
一 https和ssL HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的 ...
- Java网络编程和NIO详解开篇:Java网络编程基础
Java网络编程和NIO详解开篇:Java网络编程基础 计算机网络编程基础 转自:https://mp.weixin.qq.com/s/XXMz5uAFSsPdg38bth2jAA 我们是幸运的,因为 ...
- Java网络编程和NIO详解8:浅析mmap和Direct Buffer
Java网络编程与NIO详解8:浅析mmap和Direct Buffer 本系列文章首发于我的个人博客:https://h2pl.github.io/ 欢迎阅览我的CSDN专栏:Java网络编程和NI ...
- Java网络编程和NIO详解9:基于NIO的网络编程框架Netty
Java网络编程和NIO详解9:基于NIO的网络编程框架Netty 转自https://sylvanassun.github.io/2017/11/30/2017-11-30-netty_introd ...
- Java网络编程和NIO详解6:Linux epoll实现原理详解
Java网络编程和NIO详解6:Linux epoll实现原理详解 本系列文章首发于我的个人博客:https://h2pl.github.io/ 欢迎阅览我的CSDN专栏:Java网络编程和NIO h ...
- Java网络编程和NIO详解5:Java 非阻塞 IO 和异步 IO
Java网络编程和NIO详解5:Java 非阻塞 IO 和异步 IO Java 非阻塞 IO 和异步 IO 转自https://www.javadoop.com/post/nio-and-aio 本系 ...
- Java网络编程和NIO详解4:浅析NIO包中的Buffer、Channel 和 Selector
Java网络编程与NIO详解4:浅析NIO包中的Buffer.Channel 和 Selector 转自https://www.javadoop.com/post/nio-and-aio 本系列文章首 ...
- Java网络编程和NIO详解1:JAVA 中原生的 socket 通信机制
Java网络编程和NIO详解1:JAVA 中原生的 socket 通信机制 JAVA 中原生的 socket 通信机制 摘要:本文属于原创,欢迎转载,转载请保留出处:https://github.co ...
- wdcp 下apache模式开启https访问,支持多站点
1.vi conf/httpd.conf 查找 #Include conf/extra/httpd-ssl.conf (删除行首的配置语句注释符号"#"保存退出) 2.vi con ...
随机推荐
- Quartz和Spring Task定时任务的简单应用和比较
看了两个项目,一个用的是Quartz写的定时器,一个是使用spring的task写的,网上看了2篇文章,写的比较清楚,这里做一下留存 链接一.菠萝大象:http://www.blogjava.net/ ...
- php安裝7.3版本
CentOS 安装 EPEL 源: yum install epel-release 安装 REMI 源: CentOS 7: yum install http://rpms.remirepo.net ...
- IT面试最全逻辑题,收藏后成功率提高10%
这是小学二年级的数学题: 猫妈妈钓到一些鱼,平均分给了7只小猫,每只小猫分到的鱼和剩下的鱼刚好一样多.猫妈妈最多钓到了多少条鱼? 这个是出来工作后的现场面试题: [1]假设有一个池塘,里面有无穷多的水 ...
- 根据序列号查IP
def getIP():#得到当前电脑IP import socket s = socket.socket(socket.AF_INET, socket.SOCK_DGRAM) s.connect(( ...
- 构造函数 析构函数的区别与联系 C#
构造函数 __construct:是在对象被创建是自动调用的方法,用来完成初始化操作 构造函数有以下特点:1.构造函数的名字必须与类名相同:2.构造函数可以有任意类型的参数,但不能具有返回类型:3.定 ...
- awk对某个字段分割处理
工作中遇到要根据文件中某个字段分割成多行文本的处理,想到用awk处理,这里记录下: 问题: 原文件:假设一共2个字段,用"|"分割,其中第二个字段用"#"分割, ...
- 关于 junit4 90% 的人都不知道的特性,详解 junitperf 的实现原理
前言 上一节介绍了 https://github.com/houbb/junitperf 的入门使用. 这一节我们从源码的角度,剖析一下其实现方式. 性能测试该怎么做? Junit Rules jun ...
- 微信小程序云开发-列表下拉刷新
一.json文件开启页面刷新 开启页面刷新.在页面的json文件里配置两处: "enablePullDownRefresh": true, //true代表开启页面下拉刷新 &qu ...
- Odoo的附件大小限制
Odoo使用binary类型来保存附件数据,可以直接支持附件数据的上传.但是在实际使用中,有可能遇到附件文件大小超过限制的情况,如下图: 但是ERP定制过程中难免会遇到客户确实需要上传超大附件,那么怎 ...
- python算法学习--待续
几个算法网站 算法可视化网站:https://visualgo.net/en,通过动画展示算法实现过程 程序可视化网站:http://www.pythontutor.com/visualize.htm ...