springboot security 集成 cas 问题 No subject alternative names present

已于 2023-06-13 13:41:30 修改
阅读量3.3k 收藏 4
点赞数 3
分类专栏: spring 文章标签: spring boot java https
于 2022-11-18 01:18:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShayneLee8/article/details/127914293
版权

springboot security 集成 cas 问题 No subject alternative names present

前言

场景:
在一次springboot security 集成 cas开发中,代码报错:java.security.cert.CertificateException: No subject alternative names present。
环境:
springboot security 集成 cas,cas 服务是其他厂家开发,使用https 协议,所以服务端无法改动,只能在客户端排查问题。

一、问题

从错误信息得到大概意思就是在调用https请求时候校验证书异常。

说到这个问题,我自己搭建一个 https服务, 使用 jdk 自带 keytool 工具生成证书验证了一下:
要能正确的调用https 请求, 要满足
1.客户端要导入由服务端通过 keystore 导出的证书文件;
2.服务生成证书时候填写的CN 信息(域名) 和客户端访问的url的域名要一致(本地测试可以修改hosts文件配置域名)。

1.实际问题

但是!
第三方厂家 cas 服务端的https 证书就随便搞的,连CN信息都是随便写的不知道啥意思。
而且,虽是https 但还是通过ip 端口方式访问。 *哎, 这明显是应付入网安评嘛 *
让我如何是好!

二、大海捞针

1.星星之火

网上搜了很多。
只能绕过 https 证书校验去访问了。
看到一篇和我同样问题的文章:记一次单点登录https中证书无效的问题
他的方式是修改 CommonUtils 源码,然后重新编译打包替换原来的包,这种方式虽说能解决但是不通用,为啥尼,比如代码需要重新下载依赖,那还是每次都要重新替换,而且其他项目想校验证书用到了这个类,就难办了。

而且。他的答案漏了一行重要的代码,下文会提到。

2.通用方法

对于java 需要修改源码,我们一般会使用继承重写的方式。
但是对应本项目。
在这里插入图片描述
问题就出现在 CommonUtils类中 getResponseFromServer 这个方法。不能在这地方直接修改,否则只能像刚才那个网友搞了。找找到哪里用到这个地方。
往前找
在这里插入图片描述

AbstractCasProtocolUrlBasedTicketValidator.class-retrieveResponseFromServer 一看 final 修饰,没戏,再往前找。

在这里插入图片描述

AbstractUrlBasedTicketValidator.class - validate 该方法被final 修饰,重写不了。再往前

在这里插入图片描述
CasAuthenticationProvider.class - authenticateNow , 这个是 private 私有方法,重写不了。
再往前
在这里插入图片描述
CasAuthenticationProvider.class - authenticate ,哎CasAuthenticationProvider,好熟悉的眼神, 没错就是你了,在配置cas就见过你。再加上这个方法是 public,于是就重写这个方法,从这开刀。

啰嗦一句

建议新手多多学会使用 debuger, 你会发现越来越上瘾
在这里插入图片描述

解决

2.新建三个类

在这里插入图片描述
CasAuthenticationProviderExt

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by FernFlower decompiler)
//

package cn.com.liyx.learn.lyxsec.ext;

import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.jasig.cas.client.validation.Assertion;
import org.jasig.cas.client.validation.TicketValidationException;
import org.springframework.security.authentication.AccountStatusUserDetailsChecker;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.cas.ServiceProperties;
import org.springframework.security.cas.authentication.*;
import org.springframework.security.cas.web.authentication.ServiceAuthenticationDetails;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.authority.mapping.GrantedAuthoritiesMapper;
import org.springframework.security.core.authority.mapping.NullAuthoritiesMapper;
import org.springframework.security.core.userdetails.*;
import org.springframework.util.Assert;

public class CasAuthenticationProviderExt extends CasAuthenticationProvider {
    private static final Log logger = LogFactory.getLog(CasAuthenticationProvider.class);
    private final UserDetailsChecker userDetailsChecker = new AccountStatusUserDetailsChecker();
    private GrantedAuthoritiesMapper authoritiesMapper = new NullAuthoritiesMapper();
    private Cas20ProxyTicketValidatorExt ticketValidator;

    private ServiceProperties serviceProperties;

    public void afterPropertiesSet() {
        Assert.notNull(this.ticketValidator, "A ticketValidator must be set");
    }

    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        if (!this.supports(authentication.getClass())) {
            return null;
        } else if (authentication instanceof UsernamePasswordAuthenticationToken && !"_cas_stateful_".equals(authentication.getPrincipal().toString()) && !"_cas_stateless_".equals(authentication.getPrincipal().toString())) {
            return null;
        } else if (authentication instanceof CasAuthenticationToken) {
            if (getKey().hashCode() == ((CasAuthenticationToken) authentication).getKeyHash()) {
                return authentication;
            } else {
                throw new BadCredentialsException(this.messages.getMessage("CasAuthenticationProviderExt.incorrectKey", "The presented CasAuthenticationToken does not contain the expected key"));
            }
        } else if (authentication.getCredentials() != null && !"".equals(authentication.getCredentials())) {
            boolean stateless = false;
            if (authentication instanceof UsernamePasswordAuthenticationToken && "_cas_stateless_".equals(authentication.getPrincipal())) {
                stateless = true;
            }

            CasAuthenticationToken result = null;
            if (stateless) {
                result = getStatelessTicketCache().getByTicketId(authentication.getCredentials().toString());
            }

            if (result == null) {
                result = this.authenticateNow(authentication);
                result.setDetails(authentication.getDetails());
            }

            if (stateless) {
                getStatelessTicketCache().putTicketInCache(result);
            }

            return result;
        } else {
            throw new BadCredentialsException(this.messages.getMessage("CasAuthenticationProviderExt.noServiceTicket", "Failed to provide a CAS service ticket to validate"));
        }
    }

    private CasAuthenticationToken authenticateNow(Authentication authentication) throws AuthenticationException {
        try {
            Assertion assertion = this.ticketValidator.validate2(authentication.getCredentials().toString(), this.getServiceUrl(authentication));
            UserDetails userDetails = this.loadUserByAssertion(assertion);
            userDetailsChecker.check(userDetails);
            return new CasAuthenticationToken(getKey(), userDetails, authentication.getCredentials(), this.authoritiesMapper.mapAuthorities(userDetails.getAuthorities()), userDetails, assertion);
        } catch (TicketValidationException var4) {
            throw new BadCredentialsException(var4.getMessage(), var4);
        }
    }

    private String getServiceUrl(Authentication authentication) {
        String serviceUrl;
        if (authentication.getDetails() instanceof ServiceAuthenticationDetails) {
            serviceUrl = ((ServiceAuthenticationDetails) authentication.getDetails()).getServiceUrl();
        } else {
            if (this.serviceProperties == null) {
                throw new IllegalStateException("serviceProperties cannot be null unless Authentication.getDetails() implements ServiceAuthenticationDetails.");
            }

            if (this.serviceProperties.getService() == null) {
                throw new IllegalStateException("serviceProperties.getService() cannot be null unless Authentication.getDetails() implements ServiceAuthenticationDetails.");
            }

            serviceUrl = this.serviceProperties.getService();
        }

        if (logger.isDebugEnabled()) {
            logger.debug("serviceUrl = " + serviceUrl);
        }

        return serviceUrl;
    }

    public void setAuthoritiesMapper(GrantedAuthoritiesMapper authoritiesMapper) {
        this.authoritiesMapper = authoritiesMapper;
    }

    public void setServiceProperties(ServiceProperties serviceProperties) {
        this.serviceProperties = serviceProperties;
    }

    protected Cas20ProxyTicketValidatorExt getTicketValidator() {
        return this.ticketValidator;
    }

    public void setTicketValidator(Cas20ProxyTicketValidatorExt ticketValidator) {
        this.ticketValidator = ticketValidator;
    }
}

Cas20ProxyTicketValidatorExt

package cn.com.liyx.learn.lyxsec.ext;

import org.jasig.cas.client.validation.Assertion;
import org.jasig.cas.client.validation.Cas20ProxyTicketValidator;
import org.jasig.cas.client.validation.TicketValidationException;

import java.net.MalformedURLException;
import java.net.URL;

public class Cas20ProxyTicketValidatorExt extends Cas20ProxyTicketValidator {
    public Cas20ProxyTicketValidatorExt(String casServerUrlPrefix) {
        super(casServerUrlPrefix);
    }

    public final Assertion validate2(String ticket, String service) throws TicketValidationException {
        String validationUrl = this.constructValidationUrl(ticket, service);
        this.logger.debug("Constructing validation url: {}", validationUrl);

        try {
            this.logger.debug("Retrieving response from server.");
//            String serverResponse = this.retrieveResponseFromServer(new URL(validationUrl), ticket);
            String serverResponse = CommonUtilsExt.getResponseFromServer(new URL(validationUrl), this.getURLConnectionFactory(), this.getEncoding());
            if (serverResponse == null) {
                throw new TicketValidationException("The CAS server returned no response.");
            } else {
                this.logger.debug("Server response: {}", serverResponse);
                return this.parseResponseFromServer(serverResponse);
            }
        } catch (MalformedURLException var5) {
            throw new TicketValidationException(var5);
        }
    }
}

CommonUtilsExt

package cn.com.liyx.learn.lyxsec.ext;

import org.jasig.cas.client.ssl.HttpURLConnectionFactory;
import org.jasig.cas.client.util.CommonUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import javax.net.ssl.*;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;
import java.security.KeyManagementException;
import java.security.NoSuchAlgorithmException;
import java.security.cert.X509Certificate;

public class CommonUtilsExt {
    private static final Logger LOGGER = LoggerFactory.getLogger(CommonUtils.class);

    static {
        disableSslVerification();
    }

    private static void disableSslVerification() {
        try {
            // Create a trust manager that does not validate certificate chains
            TrustManager[] trustAllCerts = new TrustManager[]{new X509TrustManager() {
                public X509Certificate[] getAcceptedIssuers() {
                    return null;
                }

                public void checkClientTrusted(X509Certificate[] certs, String authType) {
                }

                public void checkServerTrusted(X509Certificate[] certs, String authType) {
                }
            }
            };
            // Install the all-trusting trust manager
            SSLContext sc = SSLContext.getInstance("SSL");
            sc.init(null, trustAllCerts, new java.security.SecureRandom());
            HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
            // Create all-trusting host name verifier
            HostnameVerifier allHostsValid = new HostnameVerifier() {
                public boolean verify(String hostname, SSLSession session) {
                    return true;
                }
            };
            // Install the all-trusting host verifier
            HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid);
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (KeyManagementException e) {
            e.printStackTrace();
        }
    }

    public static String getResponseFromServer(URL constructedUrl, HttpURLConnectionFactory factory, String encoding) {

        HttpURLConnection conn = null;
        InputStreamReader in = null;

        try {
//            conn = factory.buildHttpURLConnection(constructedUrl.openConnection());  // 原来的写法。
            conn = (HttpURLConnection) constructedUrl.openConnection();  // 新的写法, (注)本文要这样的写法
            if (CommonUtils.isEmpty(encoding)) {
                in = new InputStreamReader(conn.getInputStream());
            } else {
                in = new InputStreamReader(conn.getInputStream(), encoding);
            }

            StringBuilder builder = new StringBuilder(255);

            int byteRead;
            while ((byteRead = in.read()) != -1) {
                builder.append((char) byteRead);
            }
            String var7 = builder.toString();
            return var7;
        } catch (RuntimeException var13) {
            throw var13;
        } catch (SSLException var14) {
            LOGGER.error("SSL error getting response from host: {} : Error Message: {}", new Object[]{constructedUrl.getHost(), var14.getMessage(), var14});
            throw new RuntimeException(var14);
        } catch (IOException var15) {
            LOGGER.error("Error getting response from host: [{}] with path: [{}] and protocol: [{}] Error Message: {}", new Object[]{constructedUrl.getHost(), constructedUrl.getPath(), constructedUrl.getProtocol(), var15.getMessage(), var15});
            throw new RuntimeException(var15);
        } finally {
            CommonUtils.closeQuietly(in);
            if (conn != null) {
                conn.disconnect();
            }

        }
    }

}

前面说那个网友漏掉重要一行, 就是下图这一行, 确实重要!!!
在这里插入图片描述

配置文件修改

在这里插入图片描述

注意就是方法返回类型 以及 属性类型也需要用新增的类名,不然会莫名报错。

完工。

ShayneLee8
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码忽略https证书:No subject alternative names present
小流氓哥哥
05-22 1204
https No subject alternative names present
“No subject alternative names present” 异常解决
weixin_33834075的博客
07-22 3020
前段时间尝试在自己本机访问https 资源,一直困于“No subject alternative names present”这个错误。 Exception in thread "main" javax.xml.ws.WebServiceException: Failed to access the WSDL at: https://IP:8443/security/2....
ie java 证书 subject_JDK安全证书的一个错误消息 No subject alternative names present的解决办法...
weixin_36049771的博客
02-16 657
我使用Java消费某网站一个Restful API时,遇到这个错误:21:31:16.383 [main] DEBUG org.springframework.web.client.RestTemplate - Created GET request for "https://127.0.0.1:5031/commerce/product"21:31:16.388 [main] DEBUG org...
javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException:No subject alternative
weixin_53273474的博客
10-28 2174
javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException:No subject alternative names present解决方案。
springboot+security+cas集成demo
11-23
springboot+security+cas集成demo。。
Java代码忽略https证书:解决No subject alternative names present问题
热门推荐
iverson_AL的博客
09-09 2万+
一、背景:最近一个做一个项目需要在java代码使用https请求调用第三方接口,但是postman设置好的内容在代码汇总报错 javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names present 二、解决办...
Https常见的问题
code_nn的博客
11-03 1531
https常见错误: javax.net.ssl.SSLHandshakeException java.security.cert.CertificateException解决办法
SpringBoot+Security+Cas
09-07
SpringBoot+Security+Cas是一个集成解决方案,用于构建安全的Web应用程序。这个Demo是为那些希望了解如何在Spring Boot应用中整合Spring SecurityCAS(Central Authentication Service)服务的开发者准备的。下面...
springboot集成CAS实现单点登录的示例代码
08-19
SpringBoot集成CAS实现单点登录是一项常见的企业级应用技术,旨在提供用户一次登录即可访问多个系统的便捷体验。CAS(Central Authentication Service)是一个开源的身份验证框架,它允许用户在一个集中的服务器上...
详解Spring Boot 使用Spring security 集成CAS
08-30
Spring Boot 使用 Spring Security 集成 CAS Spring Boot 是一个基于 Java 的开源框架,用于快速构建生产级别的应用程序。Spring Security 是一个基于 Spring 的安全框架,提供了身份验证、授权和访问控制等功能。...
详解Springboot2.3集成Spring security 框架(原生集成)
08-18
在本文中,我们将深入探讨如何在Spring Boot 2.3应用程序中集成Spring Security框架,以实现原生的安全管理。Spring Security是一个强大且高度可配置的安全框架,为Java应用提供了全面的安全解决方案。 首先,我们...
解决cas客户端no subject alternative names present
Jeff的专栏
11-04 1884
最近工作遇集成CAS单点登录,将CAS客户集成到公司的系统(B/S架构),CAS服务端是由第三方负责,提供的CAS登录地址和验证地址使用https协议,地址为IP+端口,没有域名;由于自己之前集成CAS,由于集成轻车熟路,但是还是翻车了;单点登录前半部没有问题,会跳到公司的系统报错了,查看日志报错信息:no subject alternative names present,这个问题是由于我们调用https地址,使用的是IP不是域名造成的问题;解决方案有3种: 1、将IP更换成域名,前提...
"No subject alternative names present" solved
工作日志
07-11 2280
这个异常有可能是SAN (Subject alternative name) 与CN (Common Name)没设置好引起。 网上翻阅了许多资料,下面记录一下解决的方法。 1. 拿着Server 给的server.jks EXPORT对应的CER 然后generate 自己CLIENT SIDE 的JKS. (用的是JAVA8) keytool -genkeypair -alias t
java.security.cert.CertificateException: No subject alternative names presen
wangwenzhe的博客
04-14 3212
java.security.cert.CertificateException
HttpsURLConnection访问HTTPS链接时信任所有证书
monoria的专栏
10-13 3523
使用HttpsURLConnection访问HTTPS链接时一般需要引入证书,否则会产生异常。 但是也可以使用信任所有证书的方式来达到访问的目的。public class SslUtils { private static void trustAllHttpsCertificates() throws Exception { TrustManager[] trustAllC
解决LDAPS连接时报错 No subject alternative names present
代码研究院
07-16 3066
JDK7使用自签证书使用LDAPS完全没问题,后来升级JDK14后就无法连接,查看日志打印 No subject alternative names present,查看源码分析: 定位到:sun.security.util.HostnameChecker JDK14 需要验证扩展属性中的IP,我的证书域名时IP地址,如果是域名则会验证DNS /** * Check if the certificate allows use of the given IP address. * .
Caused by: java.security.cert.CertificateException: No subject alternative names present
最新发布
11-16
这个错误通常是由于SSL证书中缺少主题备用名称(SAN)字段引起的。可以通过以下方法解决此问题: 1.忽略证书验证,但这并不是一个好的解决方案,因为它会降低应用程序的安全性。可以使用以下代码来忽略证书验证: ```java connOpts.setHttpsHostnameVerificationEnabled(false);``` 2.在SSL证书中添加主题备用名称(SAN)字段。这可以通过在证书签名请求(CSR)中包含主题备用名称扩展来完成。可以使用以下命令生成包含主题备用名称扩展的CSR: ```shell openssl req -new -newkey rsa:2048 -nodes -keyout example.com.key -out example.com.csr -subj "/C=US/ST=California/L=San Francisco/O=Example Corp/CN=example.com" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:example.com,DNS:www.example.com")) ``` 3.使用IP地址而不是主机名来访问SSL站点。这种方法不需要主题备用名称字段。可以使用以下代码来访问SSL站点: ```java URL url = new URL("https://192.168.0.1"); HttpsURLConnection conn = (HttpsURLConnection) url.openConnection(); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值