使用HttpClient4.5实现HTTPS的双向认证
说明:本文主要是在平时接口对接开发中遇到的为保证传输安全的情况特要求使用https进行交互的情况下,使用httpClient4.5版本对HTTPS的双向验证的 功能的实现
首先,老生常谈,文章将按照哲学三部曲来解答什么是https,为什么要使用https,httpClient怎么实现https及双向验证。
问题1:什么是https?
https:安全的超文本传输协议;其实质是
加密+认证+完整性保护的HTTP,
也就是说是http的安全版本,https由http进行通信,但利用SSL/TLS协议来加密数据包,并提供对网站服务器的身份认证,保护交换数据的隐私与完整性 。
问题2:为什么要使用https协议?
没有任何一个东西是完美的,总所周知,https出现以前,哪怕是直到现在我们见到更多的还是http协议,那么为什么我们要使用https协议呢?一般来说https是安全的http协议,我们更多的用于支付场景中,https协议主要针对解决http协议以下不足:
1.http使用明文(不加密)通信,内容可能会被窃听
2.不对通信方身份进行认证,可能遭遇伪装攻击
3.无法证明报文的完整性(即准确性),报文可能已被篡改
同样的虽然https解决了HTTP存在的一些问题,但是https的本质是将http的通信接口加入了SSL/TLS协议进行加密处理,加密通信会消耗更多的cup以及内存资源。同样在三次握手事,相对效率会变低,除此之外,要进行https通信,证书是必不可少的。而是用证书必须向认证机构(CA)购买。
问题3:httpClient怎么实现https及双向验证?
对接的服务端发送过来的证书是pfx格式的证书,正常来讲pfx格式证书是包含了公钥/私钥/证书信息等的PKCS12证书,然而直接使用pfx证书作为keyStore却一直报错no trusted certificate error,因此在网上查询了一天,终于把这个问题解决了,解决方案如下:
先将.pfx文件转为.cer文件,再将.cer文件使用keytool工具导入$JAVA_HOME/jre/lib/security/cacerts中,cacerts证书库的默认密码为changeit;
1.pfx文件转为cer文件的方法:
1.使用IE浏览器
2.将.cer文件使用keytool工具导入cacerts证书库
1.keytool -import -alias testCer -keystore cacerts -file C:\Users\admin\Desktop\bcTest.cer
3.java代码中的文件配置
初始化keyStore:为pfx证书路径与密码,策略为PKCS12
初始化trustStore:为cacerts证书库地址,策略为JKS,cacerts证书库默认密码为changeit
Java代码实现:
package com.test.sendhttps;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;
import javax.net.ssl.KeyManager;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import org.apache.commons.lang3.ObjectUtils;
import org.apache.http.Header;
import org.apache.http.HttpEntity;
import org.apache.http.HttpStatus;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.config.Registry;
import org.apache.http.config.RegistryBuilder;
import org.apache.http.conn.socket.ConnectionSocketFactory;
import org.apache.http.conn.socket.PlainConnectionSocketFactory;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.entity.StringEntity;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.impl.conn.PoolingHttpClientConnectionManager;
import org.apache.http.util.EntityUtils;
import org.apache.log4j.Logger;
import com.test.util.JsonUtils;
import com.test.util.PropertiesUtil;
public class SendHttps {
private static Logger log = Logger.getLogger(SendHttps.class);
static String keyStorePath ;
static String keyStorePassword ;
static String keyStoreType ;
static String trustStorePath ;
static String trustStorePassword ;
static String trustStoreType;
static{
PropertiesUtil proUtil;
//配置文件读取
try {
proUtil = new PropertiesUtil();
keyStorePath = proUtil.readValue("sslKeyStorePath");
keyStorePassword = proUtil.readValue("sslKeyStorePassword");
keyStoreType = proUtil.readValue("sslKeyStoreType");
trustStorePath = proUtil.readValue("sslTrustStore");
trustStorePassword = proUtil.readValue("sslTrustStorePassword");
trustStoreType = proUtil.readValue("sslTrustStoreType");
} catch (IOException e) {
// TODO Auto-generated catch block
log.error("配置文件读取异常");
e.printStackTrace();
}
}
public static String sendToHttps(String reqMsg, String url, Map<String, String> headMap) {
log.info("keyFactory");
//初始化KeyManager
KeyManagerFactory keyFactory = null;
try {
keyFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
KeyStore keystore = KeyStore.getInstance(keyStoreType);
keystore.load(new FileInputStream(new File(keyStorePath)), null);
keyFactory.init(keystore, keyStorePassword.toCharArray());
} catch (NoSuchAlgorithmException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (KeyStoreException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (CertificateException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (FileNotFoundException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (IOException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (UnrecoverableKeyException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
KeyManager[] keyManagers = keyFactory.getKeyManagers();
//初始化Trust Manager
log.info("keyFactory ="+keyFactory);
TrustManagerFactory trustFactory = null;
try {
trustFactory = TrustManagerFactory.getInstance("SunX509");
} catch (NoSuchAlgorithmException e1) {
// TODO Auto-generated catch block
e1.printStackTrace();
}
KeyStore tsstore;
try {
tsstore = KeyStore.getInstance(trustStoreType);
tsstore.load(new FileInputStream(new File(trustStorePath)), trustStorePassword.toCharArray());
trustFactory.init(tsstore);
log.info("tsstore ="+tsstore+" || trustFactory = "+trustFactory);
} catch (KeyStoreException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (NoSuchAlgorithmException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (CertificateException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (FileNotFoundException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (IOException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
TrustManager[] trustManagers = trustFactory.getTrustManagers();
log.info("trustManagers ="+trustManagers);
//注册HtpClient
SSLContext sslContext = null;
try {
sslContext = SSLContext.getInstance("TLS");
sslContext.init(keyManagers, trustManagers, null);
} catch (NoSuchAlgorithmException e) {
// TODO Auto-generated catch block
e.printStackTrace();
} catch (KeyManagementException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
log.info("sslContext ="+sslContext);
//设置规则限制
SSLConnectionSocketFactory ssf = new SSLConnectionSocketFactory(sslContext,
new String[]{"TLSv1","TLSv1.1","TLSv1.2"},null,
new HttpsHostnameVerifier());
//注册
Registry<ConnectionSocketFactory> socketFactoryRegistry = null;
socketFactoryRegistry = RegistryBuilder.<ConnectionSocketFactory> create()
.register("http", PlainConnectionSocketFactory.INSTANCE)
.register("https", ssf).build();
//池化管理
PoolingHttpClientConnectionManager connManager = new PoolingHttpClientConnectionManager(socketFactoryRegistry);
//创建httpClient
CloseableHttpClient httpClient;
httpClient = HttpClients.custom().setConnectionManager(connManager).build();
//设置httpPost
HttpPost httpPost = new HttpPost(url);
if ((!headMap.isEmpty()) && (headMap.size() > 0)) {
Set<String> keys = headMap.keySet();
for (Iterator<String> i = keys.iterator(); i.hasNext(); ) {
String key = ObjectUtils.toString(i.next());
if("host".equals(key)){
continue;
}else{
log.info("key="+key+",value="+(String)headMap.get(key));
httpPost.addHeader(key, (String)headMap.get(key));
}
}
}
StringEntity reqEntity = new StringEntity(reqMsg, "UTF-8");
Header[] types = httpPost.getHeaders("Content-Type");
if ((types == null) || (types.length < 1)) {
httpPost.addHeader("Content-Type", "application/json;charset=utf-8");
}
httpPost.setEntity(reqEntity);
CloseableHttpResponse response;
try {
response = httpClient.execute(httpPost);
} catch (Exception e) {
e.printStackTrace();
return null;
}
int statusCode = response.getStatusLine().getStatusCode();
if (statusCode != HttpStatus.SC_OK) {
httpPost.abort();
return JsonUtils.setError("Fail to connect . response code = " + statusCode + ". error.");
}
HttpEntity entity = response.getEntity();
String result = null;
try {
if (entity != null) {
result = EntityUtils.toString(entity, "utf-8");
}
EntityUtils.consume(entity);
response.close();
} catch (Exception e) {
log.error("Change charset to utf-8 error.");
return JsonUtils.setError("Change charset to utf-8 error.");
}
return result;
}
}
https设置主机名校验
package com.test.sendhttps;
import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLSession;
public class HttpsHostnameVerifier implements HostnameVerifier {
/**
* 验证对方主机名称 ,防止服务器证书上的Hostname和实际的URL不匹配
* 防止链接被重定向到其他的不安全的地址
*/
@Override
public boolean verify(String hostname, SSLSession session) {
System.out.println("hostname = [" + hostname + "],session = [" + session.getPeerHost() + "]");
if (hostname.equals("地址") || session.equals("地址"))
return true;
else
return false;
}
}
配置信息 config.propertities:
sslKeyStorePath=pfx文件路径
sslKeyStorePassword=pfx文件密码
sslKeyStoreType=PKCS12
#jdk中的cacerts库地址
sslTrustStore=C:/Program Files/Java/jre7/lib/security/cacerts
#cacerts库密码
sslTrustStorePassword=changeit
#cacerts库默认类型
sslTrustStoreType=JKS
后续更换证书操作
查看cacerts证书库中的所有证书
keytool -list -keystore cacerts
删除证书库中别名为testCer的证书
keytool -delete -alias testCer -keystore cacerts
再次导入证书
keytool -import -alias testCer -keystore cacerts -file C:\Users\admin\Desktop\testCer.cer
以上即是所有内容,如有不正确之处,欢迎各位大神批评,斧正,谢谢
使用HttpClient4.5实现HTTPS的双向认证的更多相关文章
- HTTPS 中双向认证SSL 协议的具体过程
HTTPS 中双向认证SSL 协议的具体过程: 这里总结为详细的步骤: ① 浏览器发送一个连接请求给安全服务器.② 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器.③ 客户浏览器检查服务器送 ...
- https 单向双向认证说明_数字证书, 数字签名, SSL(TLS) , SASL_转
转自:https 单向双向认证说明_数字证书, 数字签名, SSL(TLS) , SASL 因为项目中要用到TLS + SASL 来做安全认证层. 所以看了一些网上的资料, 这里做一个总结. 1. 首 ...
- .net core下用HttpClient和asp.net core实现https的双向认证
关于https双向认证的知识可先行google,这时矸接代码. 为了双向认证,我们首先得准备两个crt证书,一个是client.crt,一个是server.crt,有时为了验证是否同一个根证书的验证, ...
- 转: https 单向双向认证说明_数字证书, 数字签名, SSL(TLS) , SASL
转自: http://www.cnblogs.com/mailingfeng/archive/2012/07/18/2597392.html 因为项目中要用到TLS + SASL 来做安全认证层. 所 ...
- C#中实现https的双向认证
1. 把浏览器中的证书导出为cer文件. 2. 代码如下: using System; using System.Net; using System.IO; using System.Secur ...
- HTTPS 双向认证构建移动设备安全体系
HTTPS 双向认证构建移动设备安全体系 对于一些高安全性要求的企业内项目,我们有时希望能够对客户端进行验证.这个时候我们可以使用Https的双向认证机制来实现这个功能. 单向认证:保证server是 ...
- Tomcat服务器配置https双向认证(使用keytool生成证书)
一,HTTPS原理 1,HTTP.HTTPS.SSL.TLS介绍与相互关系 (1)HTTP:平时浏览网页时候使用的一种协议.HTTP协议传输的数据都是未加密的(明文),因此使用HTTP协议传输隐私 ...
- iOS + Nodejs SSL/Https双向认证
移动互联网的大力发展,安全越来越重要. 什么是双向认证呢?双向认证就是client要验证server的合法性,同一时候server也要验证client的合法性. 这样两方都相互验证,提高安全性. 关于 ...
- phantomjs 双向认证,访问nginx,https
应用背景: phantomjs的一个爬虫,访问https站点,单向认证(只认证服务器身份)的都可以,双向认证(服务器和客户端都需要认证)必须上传本地证书: 开始用一个包含公钥私钥的PEM证书访问,怎么 ...
随机推荐
- 【BZOJ4199】【NOI2015】品酒大会(后缀数组)
[BZOJ4199][NOI2015]品酒大会 题面 BZOJ Uoj 洛谷 题解 考虑最裸的暴力 枚举每次的长度 以及两个开始的位置 检查以下是否满足条件,如果可以直接更新答案 复杂度\(O(n^3 ...
- BZOJ2820:YY的GCD
Sol 推导:\(n<m,p为质数\) \(ans=\sum_p\sum_{i=1}^{\frac{n}{p}}\mu(i)\frac{n}{pi}\frac{m}{pi}\) \(=\sum_ ...
- 【UVA 11426】gcd之和 (改编)
题面 \(\sum_{i=1}^{n}\sum_{j=1}^m\gcd(i,j)\mod998244353\) \(n,m<=10^7\) Sol 简单的一道莫比乌斯反演题 \(原式=\sum_ ...
- Redis之Set
一.Redis之Set简介 1. Set是String类型的无序集合(元素成员唯一). 2. Set是通过hash表实现的,添加.删除.查找的复杂度都是O(1). 3. 每个集合最大成员数为232-1 ...
- MySQL多数据源笔记1-MySQL主从复制
1.为什么要做主从复制? 1.在业务复杂的系统中,有这么一个情景,有一句sql语句需要锁表,导致暂时不能使用读的服务,那么就很影响运行中的业务,使用主从复制,让主库负责写,从库负责读,这样,即使主库出 ...
- PHP/JAVA 杂谈 一(php 槽点)
[本文为个人意见,不喜就喷吧!] 最近,同事问到我,『那时候为什么从PHP转成Java?』,我想了很久,且撇开主观上的原因,当初业务重构使用java确实有很多可以说道的地方. 槽点1:哪有最好的语言, ...
- lr11录制脚本出现中文乱码
录制脚本前,打开录制选项配置对话框Record-Options,进入到Advanced标签,先勾选“Support charset”,然后选择中支持UTF-8.在IIS中找到Web.Config文 ...
- C#将.spl剥离成.emf文件格式
本文转载自 星战紫辉 http://www.cppblog.com/rawdata/archive/2009/02/23/74653.html 但C#代码实现为本人原创.https://github. ...
- 一个 Vue 的滑动按钮组件
git 地址:https://github.com/SyMind/vue-sliding-button vue-better-slider 一个 Vue 的滑动按钮组件,有关滑动方面的处理借鉴 bet ...
- Java对象流的使用
为了让对象持久化(把对象存储到本地),可以使用java的对象流处理对象,把对象的内容写到本地存储的文件中,也可以从本地文件中读取出来.也就是常说的序列化和反序列化 主要用到了ObjectInputSt ...