Spring实现HTTPS方式访问服务(单向认证)

已于 2023-06-23 08:22:50 修改
阅读量3.7k 收藏 16
点赞数 5
分类专栏: 后端开发问题解决集合 文章标签: java spring spring boot https
于 2022-11-24 10:28:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Staba/article/details/127999161
版权

目录

前言

一、基本概念

二、创建keyStore、trustStore

三、服务端配置

四、客户端配置

总结

参考链接

前言

本文通过Spring来配置https服务,后续会将相关的知识内容简单讲解一下,该文章主要是https单向认证,双向认证实现过程将在后续不久的另外一边文章涉及,感兴趣的小伙伴可以提前提供关注一下。

在我们搭建的web服务中,如果没有去配置过https相关的配置,那么该服务只是一个普通的http服务,如果想要该服务成为一个https服务,通过https的方式访问接口的话,那么首先需要的是生成证书,公钥,私钥等相关内容,再进行https配置了,在开始实现之前,我们需要简单了解一下什么是HTTP,HTTPS,SSL/TLS,数字证书,公钥/私钥,keyStore, trustStore等简单的概念。

一、基本概念

友情提示:以下概述均摘自百度百科加其他文章参考,参考链接将放到最下面。

1、HTTP:

超文本传输协议(Hyper Text Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。

2、HTTPS:

HTTPS (全称:Hypertext Transfer Protocol Secure ),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 。HTTPS 在HTTP 的基础下加入SSL,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间),HTTP默认端口是80,HTTPS默认端口是443。

HTTPS相对HTTP提供了更安全的数据传输保障,主要体现在三个方面:

1)内容加密:客户端到服务器的内容都是以加密形式传输,中间者无法直接查看明文内容;

2)身份认证:通过校验保证客户端访问的是自己的服务器;

3)数据完整性:防止内容被第三方冒充或者篡改。

3、SSL/TLS:

TLS是传输层加密协议,前身是SSL协议。由网景公司于1995年发布。后改名为TLS。常用的 TLS 协议版本有:TLS1.2, TLS1.1, TLS1.0 和 SSL3.0。其中 SSL3.0 由于 POODLE 攻击已经被证明不安全。TLS1.0 也存在部分安全漏洞,比如 RC4 和 BEAST 攻击。

4、数字证书:

数字证书是指在互联网通讯中标志通讯各方身份信息的一个数字认证,在网上用它来识别对方的身份。因此数字证书又称为数字标识。数字证书对网络用户在计算机网络交流中的信息和数据等以加密或解密的形式保证了信息和数据的完整性和安全性。在建立HTTPS链接过程中,需要传递数字证书对服务进行认证。

5、公钥/私钥:

公钥是与私钥算法一起使用的密钥对的非秘密一半。公钥通常用于加密会话密钥、验证数字签名,或加密可以用相应的私钥解密的数据。公钥和私钥是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),其中的一个向外界公开,称为公钥;另个自己保留,称为私钥。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,如果用其中一个密钥加密一段数据,必须用另一个密钥解密。如用公钥加密数据就必须用私钥解密,如果用私钥加密也必须用公钥解密,否则解密将不会成功 。

6、keyStore:

keyStore是一个可以存储密钥、密钥对或证书的存储库。

  • 密钥:只有一个钥,一般是对称加密时使用
  • 密钥对:包含公钥和私钥,一般是非对称加密时使用
  • 证书,即数字证书,用于网络上进行身份验证

keyStore文件的类型可以是JSK、PKCS12、JCEKS

  • JKS(Java Key Store)可以存储密钥对和证书
  • PKCS12、JCEKS都可以存储密钥、密钥对、证书

在创建keyStore文件时,可以为keyStore设置密码

密钥、密钥对、证书在keyStore统称为key,每一个key通过alias(别名)区分。key也可以设置密码(具体体现在keytool创建keyStore和trustStore时),keyStore可以存储多对key

通过keytool成功往一个keyStore文件添加密钥对后,可以从该keyStore中获取到私钥、证书以及公钥(公钥主要以证书的形式存放)。

7、trustStore:

trustStore中保存的是一些可信任的证书

trustStore文件的类型可以是JSK、PKCS12、JCEKS

二、创建keyStore、trustStore

1、创建keyStore

keytool -genkey -alias serverKey -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore serverKeystore.p12 -storepass 123456 -ext san=ip:127.0.0.1,dns:localhost

在控制台执行该命令,用需要输入一些基本信息,按要求输入即可,从keyStore中可以获取到证书、公钥、私钥

2、创建trustStore

 1)从keyStore中导出证书

keytool -exportcert -keystore serverKeystore.p12 -alias serverKey -storepass 123456 -rfc -file server-certificate.pem

2)将证书添加到trustStore中

keytool -import -trustcacerts -file server-certificate.pem -keypass 123456 -storepass 123456 -keystore clientTruststore.jks

3、生成结果

执行完上述指令后,在目录下生成的文件如下:

上图中我们只需要关注serverKeystore(keyStore)和clientTruststore(trustStore)

  • serverKeystore用于在服务端进行配置,serverKeystore提供证书、私钥、公钥
  • clientTruststore用于在客户端进行配置,当该客户端收到服务端的证书时,将会从clientTruststore中与服务端的证书进行比对

三、服务端配置

首先是将服务端搭建成以https方式访问的web服务,这里我们默认服务就是一个spring boot服务了,有关spring boot服务怎么搭建,不是本文重点,本文着重于https相关配置

1、将证书serverKeystore.p12存放到resource目录下

2、application.yml配置如下

server:
  port: 8000
  ssl:
    key-store: classpath:serverkeystore.p12
    key-store-type: PKCS12
    key-store-password: 123456
    key-alias: serverKey

key-store:用于指定你的keyStrore文件

key-store-type:指定你的文件的类型,在上面说过,keyStore的类型可以是JKS、PKCS12、JCEKS

key-store-password:就是你在通过keytool创建keyStore时指定的密码

key-alias: 指定使用哪一个key

3、启动服务进行验证

随便写个接口进行调用,这里就不展示代码出来了

以http方式访问结果如下:

如图,提示我们需要通过https的方式去访问该接口

以https方式访问结果如下:

 可以看到,浏览器提示不安全,那是因为颁发证书的机构是我们自己,是浏览器不认可的,正常情况下证书的颁发是由合法的CA机构来做的

至此,服务端https搭建完成,接来下就是展示客户端调用https接口的解决方案了,感兴趣的小伙伴可以接着往下看

四、客户端配置

对于客户端来说,调用https接口时,会接收到服务端传送过来的证书,我们有两种解决方案一是校验证书的合法性,二是忽略对证书的校验,以下将通过案例进行展示

在没有进行有关https的配置时,直接调用服务端接口,你会看到控制台报一下错误:

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

这是因为我们在接收到服务端的证书之后,却没有进行任何处理,导致报错,以下将提供两种解决方案步骤

1、方案一:校验证书合法性

1)将clientTruststore存放到客户端服务的resource目录下

2)引入以下依赖

<dependency>
    <groupId>org.apache.httpcomponents</groupId>
    <artifactId>httpclient</artifactId>
    <version>4.5.6</version>
</dependency>

3) application.yml的配置如下

server:
  port: 9000

这里有一点需要提示,在配置文件中,server.ssl.trust-store可以对trustStore进行配置,但客户端在这里配置是没有用的,因为该配置是用于双向认证中服务端进行配置的,服务端在此处配置trustStore,可以用于校验客户端的证书。如果你的客户端同时也作为服务端向外提供服务,也需要校验其他服务的证书的话,那么,此时你就需要配置server.ssl.trust-store了

而客户端作为发起请求方,对于证书的校验,应该在发起请求的工具上进行完成,在本文中使用的是RestTemplate,接下来将对RestTemplate进行配置

4)RestTemplate配置

@Configuration
@Slf4j
public class RestTemplateConfig {

    @Bean
    public RestTemplate restTemplate(ClientHttpRequestFactory httpComponentsClientHttpRequestFactory) {
        RestTemplate restTemplate = new RestTemplate(httpComponentsClientHttpRequestFactory);
        restTemplate.getMessageConverters().set(1, new StringHttpMessageConverter(StandardCharsets.UTF_8));
        return restTemplate;
    }

    @Bean("httpComponentsClientHttpRequestFactory")
    public ClientHttpRequestFactory httpComponentsClientHttpRequestFactory() throws IOException, UnrecoverableKeyException, CertificateException, NoSuchAlgorithmException, KeyStoreException, KeyManagementException {
        final String allPassword = "123456";
        TrustStrategy acceptingTrustStrategy = (X509Certificate[] chain, String authType) -> true;
        SSLContext sslContext = SSLContextBuilder
                .create()
                .loadTrustMaterial(new ClassPathResource("clientTruststore.jks").getURL(), allPassword.toCharArray())
                .loadTrustMaterial(null, acceptingTrustStrategy)
                .build();
        HttpClient client = HttpClients.custom()
                .setSSLContext(sslContext)
                .build();
        HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory(client);
        // INSTANCE 忽略域名检查,不建议忽略检查,校验到证书所关联域名和请求域名不一致时,就会忽略,让连接建立成功
        /*SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE);
        CloseableHttpClient httpclient = HttpClients
                .custom()
                .setSSLSocketFactory(sslConnectionSocketFactory)
                .setSSLHostnameVerifier(new NoopHostnameVerifier())
                .build();
        requestFactory.setHttpClient(httpclient);*/
        return requestFactory;
    }
}

5)通过该RestTemplate实例去调用服务端接口,就可以发现能够正常调用

2、方案二:直接忽略证书校验

忽略对证书的校验,可以看我这一篇博客,通过文章中的配置,就可以忽略对服务端证书的校验,直接相信它就是服务端

RestTemplate发送请求,配置HTTPS请求忽略SSL证书_明天再去学习的博客-CSDN博客_resttemplate 忽略ssl

总结

通过本文章简单描述了https服务搭建以及单向认证的实现的过程,接下来将会出一篇博客,实现https双向认证,双向认证与单向认证之间存在着紧密联系,清楚了单向认证实现流程,那么,双向认证也不在话下了。

参考链接

https://zhuanlan.zhihu.com/p/36527074

KeyStore是什么_markix的博客-CSDN博客_keystore

[SpringBoot]实战配置Https证书和RestTemplate配置Https双向认证 - 简书

明天再去学习
关注
  • 5
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
SpringBoot如何配置Https访问
m0_73311735的博客
07-11 6580
其实将springboot配置成https方式很简单,重点是其背后的 SSL/TLS 协议,涉及到的对称加密、非对称加密、证书、CA,在下一篇中,我们将通过 wireshark,对基于 https 协议的交互进行抓包,来了解针对 https 请求,tcp 都做了什么。
SpringBoot利用证书实现https双向绑定并解析客户端证书
拼命小李博客
11-07 1008
2、springboot实现。1、生成客户端证书、密钥文件。
Spring实现HTTPS双向认证
Staba的博客
11-25 1740
本篇博客讲的主要是双向认证,通过一些简单案例来展示双向认证的配置过程。有关单向认证和一些https配置,可以看看我的这篇博客,只有了解清楚单向认证之后,那么双向认证理解更加简单,因为双向认证基于单向认证配置,所以建议在做https双向认证之前,先把https单向认证搞清楚
SpringBoot项目配置HTTPS接口的安全访问(openssl配置)
最新发布
wangqiaowq的博客
05-07 650
​​​​​​​SpringBoot项目使用自签证书利用浏览器进行HTTPS接口的安全访问_springboot浏览器访问输入网站-CSDN博客
SpringBoot配置https
qq_51218646的博客
01-28 6525
为什么要把网站转为httpshttps是网络数据传输协议,也就是说www的网站在传输数据的时候,都必须遵守这个协议,遵守统一的标准的协议,有利于数据更好的传送,而https则可以理解为是http的升级版或者安全版本。 https的优点如下: 1、部署https的网站更安全。 http是明文传送数据,不安全。也就是说,在传送数据的时候是明文的,没有经过加密,如果黑客一旦截获了这种明文数据,用户的隐私就很有可能暴露,如:账号、密码等。而https在传送数据的时候会对数据进行加密,就算黑客截获了数据也是加密后
SpringBoot中配置Https入门
qinxun2008081的博客
06-16 6472
SpringBoot中配置Https入门
Springboot支持HTTPS教程(亲测有效)
老实巴交的陶可可
05-05 6655
Springboot支持HTTPS教程 1.第一步:打开电脑CMD 输入keytool -genkey -alias tomcat -keyalg RSA -keystore ./server.keystore 2.证书生成后,一般在路径C:\Users\Administrator\server.keystore 3.第三步将 文件 server.keystore 复制到 Springboot resources文件夹下。 4.第四步:在application.proper..
单点登录Spring-security+CAS.docx
07-04
它提供了认证、授权和访问控制等功能,可以轻松地集成到Spring应用中,以实现复杂的权限管理需求。CAS则是一个开源的身份验证服务器,它提供SSO服务,使得用户只需要一次登录即可访问所有参与SSO的系统。 配置SSO的...
4.CXF安全访问单向SSL或者双向SSL(三)
04-19
总的来说,理解并正确配置CXF中的SSL访问方式是保证Web服务安全的重要一环。无论是单向还是双向SSL,都需要谨慎处理证书和密钥的管理,以防止未授权的访问和数据泄露。同时,开发者应时刻关注安全更新,及时修补可能...
spring项目整合webSocket
09-23
可以使用Spring Security来控制访问权限,确保只有经过认证的用户才能连接到WebSocket服务。 8. **测试与调试** 要测试WebSocket功能,可以使用浏览器插件(如Chrome的WebSocket Test Client)或编写简单的命令行...
common-tls-ssl::locked_with_key:使用TLSSSL单向身份验证为API设置安全性以及同时使用Spring Boot的基于Java的Web服务器和客户端的相互交互身份验证的教程。 提供了不同的客户端,例如Apache HttpClient,OkHttp,Spring RestTemplate,Spring WebFlux WebClient Jetty和Netty,新旧JDK HttpClient,新旧泽西岛客户端,Google HttpClient,Unirest,Retr
01-29
掌握两种方式的TLS :locked_with_key: 本教程将引导您完成通过TLS身份验证保护应用程序的过程,仅允许某些用户基于其证书进行访问。 这意味着您可以选择允许哪些用户调用您的应用程序。 此示例项目演示了服务器和...
springboot-vue前后端模板框架
03-15
- **实现方式**:在Spring Boot中,通常通过JSON格式的HTTP请求(如GET、POST等)来实现前后端数据交换,Vue.js作为前端负责展示和用户交互。 4. **集成Vue.js于Spring Boot**: - **构建API**:Spring Boot提供...
Spring Boot 配置 HTTPS 访问
热门推荐
啦啦啦啦 la
12-31 2万+
Spring Boot 配置 HTTPS 访问 相关代码 生成证书 创建新证书 keytool -genkeypair -alias hellowood -keyalg RSA -keysize 2048 -storetype PKCS12 -keystore hellowood.p12 -validity 3650 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么? [Unk...
HTTPS原理(证书验证+数据传输)+SpringBoot配置https
usa_washington的博客
09-12 662
HTTPS协议
深入浅出:HTTPS单向与双向认证及证书解析20231208
Narutolxy的博客
12-08 3050
网络安全的核心之一是了解和实施HTTPS认证。本文将探讨HTTPS单向认证和双向认证的区别,以及SSL证书和CA证书在这些过程中的作用,并通过Nginx配置实例具体说明。
Spring Rest接口部署配置https访问,Spring Rest接口配置SSL证书
范铭_Deln的博客
07-17 376
Spring Rest接口配置Https访问
配置HTTPS协议
CSDN_JiangLiBin的博客
08-01 1255
什么是https? “ HTTP over SSL/TLS ”意思就是带“安全套接层”的 http 协议,也可以理解为“带安全套的 http ”,所以会比较安全! 其中 SSL 是“ Secure Sockets Layer ” 的缩写,是“安全套接层”的意思。 TLS 是 “Transport Layer Security” 的缩写,是 ” 传输层安全协议 ” 的意思。 SSL 和 TLS 是同...
【网络】https单向认证和双向认证
ALLEN'Blog
12-02 3180
1.单向认证还是有必要先说下单向认证单向认证是我刚开始接触https的时候就了解到的。下面看一下执行流程图(图是网上找的)再用文字描述下:首先建立链接 -> 验证服务端身份 -> 用服务端公钥加密得到后期通信用的密钥 -> 服务端用私钥解密,拿到密钥 - -> 双方使用密钥通信在上面这个过程中,我们可以看到仅仅是验证了服务端的身份,如果有人冒充了客户端,那该怎么办,就是下面要说的双向认证。2.https双向认证首先看图较于单向认证来说,双向认证多了验证客户端身份的这一环节。下面用文字再描述一下:首先建
06-HTTPS单向认证Java案例
River的博客
11-17 1599
《安全》> 更多内容关注微信公众号 ”前后端技术精选“,或者语雀,里面有更多知识:https://www.yuque.com/riverzmm/uu60c9?# 《安全》> 更多内容关注微信公众号 ”前后端技术精选“,或者语雀,里面有更多知识:https://www.yuque.com/riverzmm/uu60c9?# 《安全》> 更多内容关注微信公众号 ”前后端技术精选“,或者语雀,里面有更多知识:https://www.yuque.com/riverzmm/uu60c9?
Spring Boot 2.0 利用 Spring Security 实现简单的OAuth2.0认证方式1
05-17
OAuth2.0是一种常用的认证授权机制,Spring Security是Spring框架中的安全模块,可以实现OAuth2.0认证。本文将介绍如何利用Spring Boot 2.0和Spring Security实现简单的OAuth2.0认证方式1。 1. 添加依赖 在项目的pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.7.RELEASE</version> </dependency> ``` 其中,spring-boot-starter-security是Spring Boot中包含Spring Security的依赖,spring-security-oauth2是Spring Security中实现OAuth2.0的依赖。 2. 配置Spring Security 在Spring Boot应用中,可以通过application.properties或application.yml文件来配置Spring Security。在本文中,我们将使用application.yml文件来配置Spring Security。 ``` spring: security: oauth2: client: registration: custom-client: client-id: custom-client-id client-secret: custom-client-secret authorization-grant-type: authorization_code redirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}' scope: - read - write provider: custom-provider: authorization-uri: https://custom-provider.com/oauth2/auth token-uri: https://custom-provider.com/oauth2/token user-info-uri: https://custom-provider.com/userinfo user-name-attribute: sub ``` 其中,我们定义了一个名为custom-client的OAuth2.0客户端,它的客户端ID和客户端密钥分别为custom-client-id和custom-client-secret,授权方式为authorization_code,重定向URI为{baseUrl}/login/oauth2/code/{registrationId},授权范围为read和write。 同时,我们定义了一个名为custom-provider的OAuth2.0提供者,它的授权URI、令牌URI、用户信息URI和用户名属性分别为https://custom-provider.com/oauth2/auth、https://custom-provider.com/oauth2/token、https://custom-provider.com/userinfo和sub。 3. 配置OAuth2.0登录 在Spring Security中,可以通过配置HttpSecurity对象来定义登录、授权等行为。在本文中,我们将使用configure方法来配置HttpSecurity对象。 ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .oauth2Login() .loginPage("/login") .defaultSuccessURL("/dashboard") .and() .logout() .logoutSuccessUrl("/") .permitAll(); } } ``` 其中,我们使用了authorizeRequests方法来设置授权规则,任何请求都需要进行认证,除了根路径和home路径。我们还使用了oauth2Login方法来设置OAuth2.0登录的相关配置,包括登录页面、默认成功URL等。最后,我们使用了logout方法来设置登出的相关配置,包括成功URL等。 4. 配置用户信息 在OAuth2.0认证中,用户信息通常由OAuth2.0提供者来维护。在Spring Security中,可以通过实现UserInfoRestTemplateFactory接口来获取用户信息。 ``` @Configuration public class OAuth2Config { @Bean public OAuth2UserService<OAuth2UserRequest, OAuth2User> oAuth2UserService() { return new DefaultOAuth2UserService(); } @Bean public UserInfoRestTemplateFactory userInfoRestTemplateFactory() { return new CustomUserInfoRestTemplateFactory(); } } ``` 其中,我们使用了DefaultOAuth2UserService来获取用户信息,同时使用了CustomUserInfoRestTemplateFactory来创建RestTemplate对象。 5. 编写测试 最后,我们可以编写一个简单的测试来验证OAuth2.0认证是否生效。 ``` @RunWith(SpringRunner.class) @SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT) @AutoConfigureMockMvc public class OAuth2Test { @Autowired private MockMvc mockMvc; @Test public void testOAuth2Login() throws Exception { mockMvc.perform(get("/login")) .andExpect(status().isOk()) .andExpect(content().string(containsString("Login with custom-provider"))) .andReturn(); } } ``` 在测试中,我们使用MockMvc对象模拟访问/login路径,期望返回200状态码,并且页面内容中包含“Login with custom-provider”的字符串。 至此,我们已经成功地利用Spring Boot 2.0和Spring Security实现了简单的OAuth2.0认证方式1。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值