https双向认证(基于程序访问,j2ee和android上皆可用)

最新推荐文章于 2023-11-22 15:58:46 发布
最新推荐文章于 2023-11-22 15:58:46 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: https android java web 安全
java 同时被 3 个专栏收录
74 篇文章 0 订阅
订阅专栏
android
26 篇文章 0 订阅
订阅专栏
https
12 篇文章 0 订阅
订阅专栏

引用:http://my.oschina.net/jjface/blog/339144

概述:
客户端,浏览器或者使用http协议和服务器通信的程序。
如:
客户端通过浏览器访问某一网站时,如果该网站为HTTPS网站,浏览器会自动检测系统中是否存在该网站的信任证书,
如果没有信任证书,浏览器一般会拒绝访问,IE会有一个继续访问的链接,但地址栏是红色,给予用户警示作用,
即客户端验证服务端并不是强制性的,可以没有服务端的信任证书,当然是否继续访问完全取决于用户自己。
如果要去除地址栏的红色警告,需要导入服务端提供的证书到浏览器中。

服务器端,使用http协议提供服务的程序。
服务端需要获取到客户端通过浏览器发送过来的认证证书,
如:
该证书在服务端的证书库中已存在,仅仅是个匹配过程,匹配成功即通过认证,可继续访问网站资源,反之则无法显示网页。

基本逻辑:
1、生成服务端密钥库并导出证书.
2、生成客户端密钥库并导出证书.
3、根据服务端密钥库生成客户端信任的证书.
4、将客户端证书导入服务端密钥库.
5、将服务端证书导入浏览器.

源码下载地址:http://pan.baidu.com/s/1eQ5r9OA


生成密钥库和证书:
因使用java环境,下面使用jdk下面的keytool工具来生成相应的密钥库和证书
下面的命令是在windows 7 下面测试通过的,可以直接复制使用
1、创建目录,如d:/sslDemo

2、使用资源管理进入d:/sslDemo,按住shift+右键,弹出菜单,选择"在此处打开命令行".

3、服务器端相关操作
3.1、生成服务器证书库
keytool -validity 36500 -genkey -v -alias server -keyalg RSA -keystore server.keystore -dname "CN=www.itjoyee.com,OU=itjoyee.com,O=itjoyee.com,L=Wuhan,ST=HuBei,c=cn" -storepass 123456 -keypass 123456
注: 服务器证书库参数“CN”必须与服务端的IP地址相同,否则会报错,客户端的任意。

3.2、从服务器证书库中导出服务器证书
keytool -export -v -alias server -keystore server.keystore -storepass 123456 -rfc -file server.cer

3.3、生成客户端信任证书库(由服务端证书生成的证书库,客户端使用此证书验证服务端来源可靠)
keytool -import -v -alias server -file server.cer -keystore client.truststore -storepass 123456 -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider

注:-storetype BKS 是生成android上面可以识别的格式,如果不指定jdk默认生成的格式是JKS.
-provider org.bouncycastle.jce.provider.BouncyCastleProvider,需要下载jar包bcprov-jdk16-1.46.jar放到jdk1.7.0_65\jre\lib\ext\目录下.
注意需要jdk16,其他的版本android下面有版本不匹配的问题.


4、客户端相关操作
4.1、生成客户端证书库
keytool -validity 36500 -genkeypair -v -alias client -keyalg RSA -storetype PKCS12 -keystore client.p12 -dname "CN=clients.itjoyee.com,OU=jiajianfa,O=jiajianfa,L=Wuhan,ST=HuBei,c=cn" -storepass 123456 -keypass 123456

4.2、从客户端证书库中导出客户端证书
keytool -export -v -alias client -keystore client.p12 -storetype PKCS12 -storepass 123456 -rfc -file client.cer

注:客户端证书可以产生多个.

4.3、将客户端证书导入到服务器证书库(使得服务器信任客户端证书,服务器端用此验证客户端的合法性)
keytool -import -v -alias client -file client.cer -keystore server.keystore -storepass 123456

4.4、查看服务端证书中信任的客户端证书
keytool -list -keystore server.keystore -storepass 123456

5、服务器端配置
由于使用tomcat,下面使用tomcat做为实例配置.
5.1、在tomcat安装目录下新建key目录,将上面生成的server.keystore复制过去.
5.2、编辑tomcat安装目录下的conf目录下的server.xml,如:d:\sslDemo\apache-tomcat-7.0.55\conf\server.xml
找到Connector,修改如下:

?
1
2
3
4
5
6
7
< Connector  port = "8444"  protocol = "org.apache.coyote.http11.Http11NioProtocol" 
            maxThreads = "150" 
            SSLEnabled = "true"  scheme = "https"  secure = "true"
            keystoreFile = "${catalina.base}/key/server.keystore"  keystorePass = "123456"
            
            clientAuth = "true"  sslProtocol = "TLS"
            truststoreFile = "${catalina.base}/key/server.keystore"  truststorePass = "123456" />

注:           
port配置https访问的端口
SSLEnabled="true" 开启https服务
scheme="https"
secure="true"    开启服务端安全通信,客户端获取服务器端证书
keystoreFile="${catalina.base}/key/server.keystore" keystorePass="123456" 服务器证书库

clientAuth="true" 开启验证客户端
sslProtocol="TLS" 使用的协议
truststoreFile="${catalina.base}/key/server.keystore" truststorePass="123456" 服务器证书库(已导入客户端证书)

6、测试
由于生成证书CN配置的是www.itjoyee.com,故需要修改C:\Windows\System32\drivers\etc\hosts
添加

192.168.0.50    www.itjoyee.com
注:
192.168.0.50 为服务器的ip

启动tomcat
打开浏览器
地址栏输入 http://www.itjoyee.com:8080/
可以访问

地址栏输入https://www.itjoyee.com:8444/
访问结果,为无法显示,因为,没有使服务器端生成的信任的客户端证书

双击client.p12,输入密码,在此访问https://www.itjoyee.com:8444/
此时会有证书相关的提示,点击"确认",接着会提示网站安全证书有问题,点击继续访问,即可进入正常访问页面

7、tomcat下的服务强制使用ssl配置
已ROOT服务为例,修改D:\sslDemo\apache-tomcat-7.0.55\webapps\ROOT\WEB-INF\web.xml
添加

?
1
2
3
4
5
6
7
8
9
< security-constraint >       
     < web-resource-collection >
         < web-resource-name  >SSL</ web-resource-name >  
         < url-pattern >/*</ url-pattern >
     </ web-resource-collection >
     < user-data-constraint >
         < transport-guarantee >CONFIDENTIAL</ transport-guarantee >  
     </ user-data-constraint >
</ security-constraint >

打开浏览器
地址栏输入 http://www.itjoyee.com:8080/会有证书相关提示

(自己再补充一条)

8、单独某一工程配置强制使用https

在你应用的 web.xml 文件的 <web-app></web-app> 中加入如下配置

<login-config>

             <!-- Authorization setting for SSL -->

        <auth-method>CLIENT-CERT</auth-method>

        <realm-name>Client Cert Users-only Area</realm-name>

    </login-config>

    <security-constraint>

             <!-- Authorization setting for SSL -->

        <web-resource-collection >

            <web-resource-name >SSL</web-resource-name>

            <url-pattern>/*</url-pattern>

        </web-resource-collection>

        <user-data-constraint>

            <transport-guarantee>CONFIDENTIAL</transport-guarantee>

        </user-data-constraint>

</security-constraint>



=============================================================================

为了方便测试android下双向认证可以用,生成证书的时候把域名换成服务器的ip地址,验证才可以通过

1、android app 代码实现

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
AsyncTask testTask =  new  AsyncTask() {
             @Override
             protected  Object doInBackground(Object... params) {
                 try  {
                     HttpClient httpsClient = AppSslApplication.getHttpsClient(MainActivity. this .getBaseContext());
                     HttpGet httpget =  new  HttpGet(HTTPS_URL);
                     HttpResponse response = httpsClient.execute(httpget);
                     HttpEntity entity = response.getEntity();
                     Log.e( "Response status" , response.getStatusLine().toString());
                     if  (entity !=  null ) {
                         Log.e( "Response" "Response content length: "  + entity.getContentLength());
                         BufferedReader bufferedReader =  new  BufferedReader( new  InputStreamReader(entity.getContent()));
                         String text;
                         while  ((text = bufferedReader.readLine()) !=  null ) {
                             Log.e( "Response status" , text);
                         }
                         bufferedReader.close();
                     }
                     httpsClient.getConnectionManager().shutdown();
                 catch  (ClientProtocolException e) {
                     e.printStackTrace();
                 catch  (IllegalStateException e) {
                     e.printStackTrace();
                 catch  (IOException e) {
                     e.printStackTrace();
                 }
                 return  null ;
             }
         };
         testTask.execute();
public  class  HttpClientSslHelper {
     private  static  final  String KEY_STORE_TYPE_BKS =  "bks" ;
     private  static  final  String KEY_STORE_TYPE_P12 =  "PKCS12" ;
     private  static  final  String SCHEME_HTTPS =  "https" ;
     private  static  final  int  HTTPS_PORT =  8444 ;
     
     private  static  final  String KEY_STORE_CLIENT_PATH =  "client.p12" ;
     private  static  final  String KEY_STORE_TRUST_PATH =  "client.truststore" ;
     private  static  final  String KEY_STORE_PASSWORD =  "123456" ;
     private  static  final  String KEY_STORE_TRUST_PASSWORD =  "123456" ;
     private  static  KeyStore keyStore;
     private  static  KeyStore trustStore;
     public  static  HttpClient getSslHttpClient(Context pContext) {
         HttpClient httpsClient =  new  DefaultHttpClient();
         try  {
             // 服务器端需要验证的客户端证书
             keyStore = KeyStore.getInstance(KEY_STORE_TYPE_P12);
             
             // 客户端信任的服务器端证书
             trustStore = KeyStore.getInstance(KEY_STORE_TYPE_BKS);
             
             InputStream ksIn = pContext.getResources().getAssets().open(KEY_STORE_CLIENT_PATH);
             InputStream tsIn = pContext.getResources().getAssets().open(KEY_STORE_TRUST_PATH);
             try  {
                 keyStore.load(ksIn, KEY_STORE_PASSWORD.toCharArray());
                 trustStore.load(tsIn, KEY_STORE_TRUST_PASSWORD.toCharArray());
             catch  (Exception e) {
                 e.printStackTrace();
             finally  {
                 try  {
                     ksIn.close();
                 catch  (Exception ignore) {
                 }
                 try  {
                     tsIn.close();
                 catch  (Exception ignore) {
                 }
             }
             SSLSocketFactory socketFactory =  new  SSLSocketFactory(keyStore, KEY_STORE_PASSWORD, trustStore);
             Scheme sch =  new  Scheme(SCHEME_HTTPS, socketFactory, HTTPS_PORT);
             httpsClient.getConnectionManager().getSchemeRegistry().register(sch);
         catch  (KeyManagementException e) {
             e.printStackTrace();
         catch  (UnrecoverableKeyException e) {
             e.printStackTrace();
         catch  (KeyStoreException e) {
             e.printStackTrace();
         catch  (FileNotFoundException e) {
             e.printStackTrace();
         catch  (NoSuchAlgorithmException e) {
             e.printStackTrace();
         catch  (ClientProtocolException e) {
             e.printStackTrace();
         catch  (IOException e) {
             e.printStackTrace();
         }
         return  httpsClient;
     }
}

2、android浏览器实现
1.先把你的CA证书拷贝到你的SD卡里面
2.进入手机的"设置"->"位置和安全",最下面有个"从SD卡安装",就是安装证书的。
---------暂时没有实现


xueyepiaoling
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于Web和J2EE的办公自动化系统的设计最终版.pdf
11-16
基于Web和J2EE的办公自动化系统的设计最终版.pdf
07-HTTPS双向认证及Java案例
River的博客
11-21 2263
HTTPS双向认证的Java案例代码
java-https客户端双向认证SSL
weixin_43728597的博客
11-22 917
springboot下https双向认证开发经验
基于springboot实现的https单向认证双向认证(java生成证书)
布道师小羊的博客
10-24 7005
1、java生成HTTPS证书: 既然是双向验证,就需要双方的密钥,我们服务端称为localhost,而客户端称为client。需要生成双方的密钥文件,并把对方的cert导入自己的密钥文件里。整个过程如下: 注意:密码统一为:changeit,这个密码自己可以设置,然后记住就可以了。 生成服务端密钥文件localhost.jks: keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystor
https双向认证
u014644574的博客
08-07 1万+
https双向认证
基于java的https双向认证,android上亦可用
weixin_33979363的博客
10-31 164
为什么80%的码农都做不了架构师?>>> ...
ssm项目小程序基于J2ee的高校毕业生就业信息系统小程序pf.zip
最新发布
04-11
SSM项目小程序“基于J2ee的高校毕业生就业信息系统小程序pf.zip”是一个建立在Java 2 Platform, Enterprise Edition (J2EE) 标准之上,使用Spring、Spring MVC和MyBatis(SSM)框架开发的微信小程序。它专为高校毕业...
开发基于J2EE+SSM框架的信息管理系统
06-03
开发基于J2EE+SSM框架的信息管理系统中遇到的问题及其解决办法 eg:Navicat过期 Tomact发布 中文乱码等等
基于j2ee校园二手书交易系统毕业设计程序
09-22
采用java技术构建的一个管理系统。整个开发过程首先对系统进行需求分析,得出系统的主要功能。... 包括程序毕设程序源代码一份,数据库一份,完美运行。配置环境里面有说明。如有不会运行源代码或定制私信。
android 使用HttpsURLConnection方式的SSL双向认证
12-08
本demo使用HttpsURLConnection方式的SSL双向认证,实现oauth2.0客户端请求方式,并且实现了普通post接口请求,及多图上传的post请求接口,做了网络请求的封装。
java实现https请求单向认证双向认证
他叫阿来
02-06 3565
文章目录前言一、准备1.构建客户端证书2.构建服务器端证书3.tomcat准备二、单向认证1.配置2.代码访问三、双向认证1.配置2.浏览器访问3.代码访问总结 前言 本文通过构建自签名证书,实现浏览器和代码发送https请求的单向认证双向认证和代码层绕过证书校验。 一、准备 1.构建客户端证书 keytool -genkey -v -alias clientKey -keyalg RSA -storetype PKCS12 -keystore client.key.p12 得到文件client.k
java实现https请求
weixin_30784945的博客
04-28 74
HttpsUtil.java package com.lichmama.test.util; import java.io.ByteArrayOutputStream; import java.io.IOException; import java.io.InputStream; import java.io.OutputStream; import java.net....
java实现https双向认证
copbint
11-14 6728
了解了一些https的工作原理,但是还是理解的不透彻,参考其他实现,写了一段代码练手。 参考文章: 1.讲https的工作原理的:Java 和 HTTP 的那些事(四) HTTPS 和 证书 2.keytool相关命令:使用keytool 生成证书 一些没有解决的疑惑: 1.单向认证的代码应该咋写? 2.通配符形式的域名的证书怎么生成?     httpsServer: im...
Java进阶(三)Java安全通信:HTTPS与SSL
热门推荐
IT全栈 华强工作室
04-18 5万+
通过一个系统,接触到了Java安全机制,故作一小节,供朋友们参考学习。
java 访问https_Java访问https接口实现
weixin_35779506的博客
02-12 2213
用两种方式分别实现了,第一种是jdk原生的,代码稍微多点,第二种是基于httpclient4版本的。在我的机器上,访问同一个接口原生的性能要好很多(前者900ms,后者5.7s左右),httpclient主要性能消耗在"HttpResponse res = client.execute(post);",大约占总执行时间的90%。private static final String METHOD_...
Java实现HTTPS通讯
Event driven
11-01 721
Https协议用于在保密性要求高的环境中。 Https基于Http协议,在Http协议中加了一层封装,加入SSL/TLS协议。 使用SSL会用到JSSE(Java Secure Socket Extension),JSSE对Java访问SSL和TLS协议都做了封装。 图 1. JSSE相关类之间的关系    安全套接字程序编写的方法 使用 Java 编写安全套接字程序,可以遵循一定...
JavaWeb学习笔记
sako_77的博客
05-02 536
个人笔记 (参考狂神说Java b站视频)
java开发如何使用HttpsConnection
技术成就梦想
09-04 2753
HTTPS是安全性较高的一种传输协议,java方面用的不是太多,已经逐渐被大部分人遗忘。市面上虽然有替代品,但是不管怎样,底层就是底层永远不会改变。
基于j2ee的毕业设计
01-31
这种基于J2EE的毕业设计旨在通过开发一个完整的企业级应用程序来综合应用所学的Java和J2EE知识。 J2EE平台提供了一系列的技术和API,包括Servlets、JSP、EJB、JDBC等,用于支持分布式应用程序的开发。基于J2EE的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值