环境: java8+Spring
起因: 4月写微信支付的后台中间接口时,申请退款请求需要带上商户证书。微信官方给的java demo用的是apache的HttpClient,但因为实际server用的是Spring…所以就考虑怎么在Spring的RestTemplate里引入商户凭证,结果发现牵扯出来很多东西…这里整理了一些。
思路:
RestTemplate部分:
Spring用的不久,稍微仔细点地看了下代码、才发现RestTemplate诚如其名就是封装好的模板。它众多的xxForObject、xxForEntity方法,内部流程其实很简明:/* RestTemplate#doExecute */ // ClientHttpRequestFactory#createRequest,生成一个具体请求实例 ClientHttpRequest request = createRequest(url, method); if (requestCallback != null) { // 请求headers和body处理,用到了HttpMessageConverter requestCallback.doWithRequest(request); } //ClientHttpRequest#execute 执行请求 response = request.execute(); // response error处理 handleResponse(url, method, response);
于是只看ClientHttpRequestFactory,查找下它的实现类:
简单检查了下import、只有基于HttpComponents、Netty和OkHttp的涉及到了ssl。几个request factory都可以通过constuctor注入相应client实例,所以就回到了HttpComponents/Netty/OkHttp怎么加ssl……然后矛头都指向了一个class:SSLContext。证书相关:
因为之前读书少在看微信demo时发现通篇的双向认证、公钥私钥、KeyStore、PKCS12……几乎都是陌生词汇。网络安全相关到目前才了解皮毛……还好只是写个退款接口、搞起几个相关的概念就写完了:首先必须先了解https签名认证流程。SO上看到推荐Wikipedia Public-key cryptography里面的Postal analogies(邮局比喻)、确实写的好。其他就自行百度google了。这里记录的只有一个点就是证书和公钥的区别:按Wikipedia的Public key certificate第一句就是“数字证书是用于证明公钥所有者身份的电子文档”、按SE的这个问题“X.509证书至少包含1)公钥和2)公钥所有者信息”,一开始没搞清还是很影响理解的……
然后直接回来看SSLContext,简单搜下例程知道它是先getInstance然后init, getInstance没有深入看,总之先按demo用
TLSv1
协议;init参数有3个,均可为null、null时用系统默认: