Spring实现HTTPS双向认证

最新推荐文章于 2024-03-05 21:34:11 发布
最新推荐文章于 2024-03-05 21:34:11 发布
阅读量1.6k 收藏 14
点赞数 3
分类专栏: 后端开发问题解决集合 文章标签: java spring boot https http spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Staba/article/details/128019512
版权

目录

前言

一、单向认证和双向认证

二、创建keyStore和trustStore

三、服务端配置

四、客户端配置 

总结

参考链接

前言

本篇博客讲的主要是双向认证,通过一些简单案例来展示双向认证的配置过程。有关单向认证和一些https配置,可以看看我的这篇博客,只有了解清楚单向认证之后,那么双向认证理解更加简单,因为双向认证基于单向认证配置,所以建议在做https双向认证之前,先把https单向认证搞清楚:

Spring实现HTTPS方式访问服务(单向认证)_明天再去学习的博客-CSDN博客

 

一、单向认证和双向认证

1、单向认证

单向认证十分简单,就是在服务端配置证书,客户端在向服务端发送请求时,服务端会发送一份自己的证书,由客户端进行验证,只要客户端通过验证,那么就能建立https链接。

2、双向认证

双向认证相比于单向认证多了一个步骤,那就是客户端发送请求时校验服务端的证书的同时,客户端也需要发送一份自己的证书给服务端进行校验,只有双方的证书在对方那里校验通过之后,才能建立起https链接。

二、创建keyStore和trustStore

1、keyStore与trustStore的作用

keyStore:

  • keyStore是一个可以存储密钥、密钥对或证书的存储库。密钥:只有一个钥,一般是对称加密时使用;密钥对:包含公钥和私钥,一般是非对称加密时使用。
  • keyStore文件的类型可以是JSK、PKCS12、JCEKS。JSK(Java Key Store)可以存储密钥对和证书;PKCS12、JCEKS都可以存储密钥、密钥对、证书。
  • 在创建keyStore文件时,可以为keyStore设置密码。
  • 密钥、密钥对、证书在keyStore统称为key,每一个key通过alias(别名)区分。key也可以设置密码(具体体现在keytool创建keyStore和trustStore时),keyStore可以存储多对key。
  • 通过keytool成功往一个keyStore文件添加密钥对后,可以从该keyStore中获取到私钥、证书以及公钥(公钥主要以证书的形式存放)。

trustStore:

  •  trustStore中保存的是一些可信任的证书
  • trustStore文件的类型可以是JSK、PKCS12、JCEKS。JSK(Java Key Store)可以存储密钥对和证书;PKCS12、JCEKS都可以存储密钥、密钥对、证书。

2、创建服务端keyStore和客户端trustStore(以下指令均在控制台执行)

注意:由于只是本地简单配置双向认证,涉及到的证书将由工具keytool生成,真正生产环境下的证书,将有认证过的CA机构去生成。

创建服务端keyStore

keytool -genkey -alias serverkey -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore serverkeystore.p12 -storepass 123456 -ext san=ip:127.0.0.1,dns:localhost

导出服务端证书

keytool -exportcert -keystore serverkeystore.p12 -alias serverkey -storepass 123456 -rfc -file server-certificate.pem

将服务端证书添加到客户端trustStore中 

keytool -import -trustcacerts -file server-certificate.pem -keypass 123456 -storepass 123456 -keystore clienttruststore.jks

3、创建客户端keyStore和服务端trustStore 

 创建客户端keyStore

keytool -genkey -alias client -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystore clientKeystore.p12 -storepass 123456 -ext san=ip:127.0.0.1

导出客户端证书

keytool -exportcert -keystore clientKeystore.p12 -alias client -storepass 123456 -rfc -file client-certificate.pem

将客户端证书添加到服务端trustStore中 

keytool -import -trustcacerts -file client-certificate.pem -keypass 123456 -storepass 123456 -keystore serverTruststore.jks

4、生成结果

 

在后续实践中,我们需要用到的是 serverKeyStore、serverTrustStore、clientKeyStore、clientTrustStore

 

三、服务端配置

1、将serverKeyStore、serverTrustStore存放在resource目录下

2、application.yml配置如下

server:
  port: 7050
  ssl:
    key-store: classpath:serverKeyStore.p12
    key-store-password: 123456
    key-store-type: PKCS12
    key-alias: serverKey
    client-auth: need
    trust-store: classpath:serverTrustStore.jks
    trust-store-password: 123456
    trust-store-type: JKS
  • key-store:用于指定你的keyStrore文件
  • key-store-type:指定你的文件的类型,在上面说过,keyStore的类型可以是JKS、PKCS12、JCEKS
  • key-store-password:就是你在通过keytool创建keyStore时指定的密码
  • key-alias: 指定使用哪一个key
  • client-auth:开启客户端验证,即需要验证客户端证书,服务端开启双向认证的开关
  • trust-store:用于指定你的trustStrore(信任库)文件,客户端证书校验将在此处进行
  • trust-store-type:指定你的文件的类型,在上面说过,trustStore的类型可以是JKS、PKCS12、JCEKS
  • trust-store-password:就是你在通过keytool创建trustStore时指定的密码

至此,服务端https双向认证配置到此处结束,接下来是客户端的配置

 

四、客户端配置 

1、将clientKeyStore、clientTrustStore存放在resource目录下:

 

2、导入以下依赖:

<dependency>
    <groupId>org.apache.httpcomponents</groupId>
    <artifactId>httpclient</artifactId>
    <version>4.5.6</version>
</dependency>

 

3、进行RestTemplate配置:

@Slf4j
@Configuration
public class RestTemplateConfig {

    @Bean
    public RestTemplate restTemplate(ClientHttpRequestFactory httpComponentsClientHttpRequestFactory) {
        RestTemplate restTemplate = new RestTemplate(httpComponentsClientHttpRequestFactory);
        restTemplate.getMessageConverters().set(1, new StringHttpMessageConverter(StandardCharsets.UTF_8));
        return restTemplate;
    }

    @Bean("httpComponentsClientHttpRequestFactory")
    public ClientHttpRequestFactory httpComponentsClientHttpRequestFactory() throws IOException, UnrecoverableKeyException, CertificateException, NoSuchAlgorithmException, KeyStoreException, KeyManagementException {
        final String allPassword = "123456";
        TrustStrategy acceptingTrustStrategy = (X509Certificate[] chain, String authType) -> true;
        SSLContext sslContext = SSLContextBuilder
                .create()
                .loadKeyMaterial(new ClassPathResource("clientKeystore.p12").getURL(),
                        allPassword.toCharArray(), allPassword.toCharArray())
                .loadTrustMaterial(new ClassPathResource("clientTruststore.jks").getURL(), allPassword.toCharArray())
                .loadTrustMaterial(null, acceptingTrustStrategy)
                .build();
        HttpClient client = HttpClients.custom()
                .setSSLContext(sslContext)
                .build();
        HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory(client);
        // INSTANCE 忽略域名检查,证书中的域名与请求的域名不匹配时,验证通过, 不建议开启该功能,因为存在安全问题
       /*SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE);
        CloseableHttpClient httpclient = HttpClients
                .custom()
                .setSSLSocketFactory(sslConnectionSocketFactory)
                .setSSLHostnameVerifier(new NoopHostnameVerifier())
                .build();
        requestFactory.setHttpClient(httpclient);*/
        return requestFactory;
    }

}

 4、通过RestTempate进行接口调用,客户端能够与开启双向认证后的服务端进行连接访问。

至此,客户端的配置也完成了 。

总结

双向配置的精髓就是,客户端也需要配置自己的证书,在发送请求的同时,将自己的证书发送给服务端,让服务端去验证证书,所以,搞清楚双向认证配置之前,一定要先弄清楚单向认证配置,以达事半功倍。

参考链接

一文读懂Https的安全性原理、数字证书、单项认证、双项认证等 - 知乎

百度安全验证 

 

明天再去学习
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
springboot项目开启ssl双向认证实现相互访问通信浏览器访问通信
YnagLei的博客
03-05 1168
这段命令是使用Java的keytool工具生成一个RSA算法的密钥对,并将其保存在名为server.jks的密钥库文件中。上面的命令使用keytool工具从server.jks keystore中导出server别名的证书,并保存为server.cer文件。这段命令与上一个命令类似,也是使用Java的keytool工具生成一个RSA算法的密钥对,并将其保存在名为client.jks的密钥库文件中。
Springboot的SSL双向认证
热门推荐
weixin_41917987的博客
07-10 2万+
单项认证双向认证区别(转载):https://blog.csdn.net/ons_cukuyo/article/details/79171418注意事项:    在看完上边单双向认证过程的区别之后,会发现在认证过程中,有公钥和私钥的概念,而何时谁应该持有谁的公钥或者私钥呢?1、如果客户端想验证服务端证书,客户端需要安装服务端的公钥文件(cer)(或者服务端证书是官方CA颁发的,客户端可以直接联网...
SpringBoot 配置单向和双向认证
一个95后开发者,热爱编程,喜欢玩游戏. 希望可以结识更多的小伙伴...
06-30 873
springboot SSL双向验证原理及配置
qq_17236715的博客
07-30 2753
SSL层协议 SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 SSL加密通道上的数据加解密使用对称密钥算法,目前主要支持的算法有D
Spring实现HTTPS方式访问服务(单向认证)
Staba的博客
11-24 3481
本文通过Spring来配置https服务,后续会将相关的知识内容简单讲解一下,该文章主要是https单向认证双向认证实现过程将在后续不久的另外一边文章涉及,感兴趣的小伙伴可以提前提供关注一下。
SpringBoot配置https
qq_51218646的博客
01-28 6480
为什么要把网站转为httpshttps是网络数据传输协议,也就是说www的网站在传输数据的时候,都必须遵守这个协议,遵守统一的标准的协议,有利于数据更好的传送,而https则可以理解为是http的升级版或者安全版本。 https的优点如下: 1、部署https的网站更安全。 http是明文传送数据,不安全。也就是说,在传送数据的时候是明文的,没有经过加密,如果黑客一旦截获了这种明文数据,用户的隐私就很有可能暴露,如:账号、密码等。而https在传送数据的时候会对数据进行加密,就算黑客截获了数据也是加密后
SpringBoot中配置Https入门
qinxun2008081的博客
06-16 6117
SpringBoot中配置Https入门
Springboot支持HTTPS教程(亲测有效)
老实巴交的陶可可
05-05 6630
Springboot支持HTTPS教程 1.第一步:打开电脑CMD 输入keytool -genkey -alias tomcat -keyalg RSA -keystore ./server.keystore 2.证书生成后,一般在路径C:\Users\Administrator\server.keystore 3.第三步将 文件 server.keystore 复制到 Springboot resources文件夹下。 4.第四步:在application.proper..
Spring Boot 配置 HTTPS 访问
啦啦啦啦 la
12-31 2万+
Spring Boot 配置 HTTPS 访问 相关代码 生成证书 创建新证书 keytool -genkeypair -alias hellowood -keyalg RSA -keysize 2048 -storetype PKCS12 -keystore hellowood.p12 -validity 3650 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么? [Unk...
spring security 认证授权实现
10-14
项目包含认证实现和jwt结合内容 项目使用redis cluster 和mybatis-plus 技术 项目包含建库脚本,一键使用,现成的认证授权框架 本项目不包含oauth2.0开放授权的内容
Spring Security基于数据库实现认证过程解析
08-18
主要介绍了Spring Security基于数据库实现认证过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
SpringSecutiry实现认证授权功能,整合SpringBoot
07-02
本资源通过SpringBoot整合SpringSecurity框架,实现对用户的认证授权功能,其中写了多个小demo,并且对SpringSecuirty进行了相应的配置,读者通过本资源可以得到关于SpringSecurity的认证授权知识,以及相关的流程。
基于SpringBoot的双向HTTPS认证配置
BlackButtonCC's life!
08-22 3853
文章目录一、最终效果二、步骤2.1 单向认证2.1.1 创建SpringBoot项目2.1.2 利用keytool生成密钥库(keystore)2.1.3 对SpringBoot进行配置2.1.4 测试2.2 双向认证2.2.1 利用keytool生成用户端密钥库并安装2.2.2 导出用户端数字证书2.2.3 服务器端信任用户端数字证书2.2.4 配置Spring Boot2.2.5 测试三、思考...
配置SpringBoot实现使用httpclient配合restTemplate验证服务器与服务器之间调用接口的TLS/SSL证书双向认证(精辟!亲测可用!附真实项目代码)
HD243608836的博客
07-07 2682
单向认证 我们在通常访问一个网站,例如https://www.baidu.com,这是一个单向的TLS认证,具体的过程为:服务器发送证书给客户端,客户端校验证书。验证证书有效之后,客户端和服务器协商出一个对称加密密钥由服务端的私钥加密,客户端收到之后再用公钥解密这个对称密钥,然后就开始了传输层加密之旅。这种时候,服务端并不校验客户端的合法性,来者不拒,绝大部分的网站都是这种类型。 例如查看百度: [root@iZbp1g905y8l5pclnbxvfxZ ~]# curl https://www.b
如何配置SpringCloud Dubbo SSL/TLS 双向认证
weixin_38067745的博客
12-13 1205
当微服务所部署的服务器不在一个内网,或者内网不是很安全,担心dubbo的远程调用被中间人窃听,或者担心dubbo调用不受控制,被恶意调用。那么就需要搭建Dubbo SSL/TLS双向认证,服务提供方需要校验消费方的身份,消费方也需要校验服务提供方的身份
基于springboot实现https单向认证双向认证(java生成证书)
布道师小羊的博客
10-24 7056
1、java生成HTTPS证书: 既然是双向验证,就需要双方的密钥,我们服务端称为localhost,而客户端称为client。需要生成双方的密钥文件,并把对方的cert导入自己的密钥文件里。整个过程如下: 注意:密码统一为:changeit,这个密码自己可以设置,然后记住就可以了。 生成服务端密钥文件localhost.jks: keytool -genkey -alias localhost -keyalg RSA -keysize 2048 -sigalg SHA256withRSA -keystor
SpringBoot如何配置Https访问
m0_73311735的博客
07-11 5769
其实将springboot配置成https的方式很简单,重点是其背后的 SSL/TLS 协议,涉及到的对称加密、非对称加密、证书、CA,在下一篇中,我们将通过 wireshark,对基于 https 协议的交互进行抓包,来了解针对 https 请求,tcp 都做了什么。
Spring Security实现身份认证
最新发布
04-17
Spring Security是一个功能强大的身份认证和授权框架,它可以帮助我们在Spring应用程序中实现安全性。下面是Spring Security实现身份认证的一般步骤: 1. 添加Spring Security依赖:在项目的构建文件中添加Spring Security的依赖,例如在Maven项目中可以添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个配置类,继承自`WebSecurityConfigurerAdapter`,并重写`configure`方法来配置安全性规则。在该方法中,可以定义哪些URL需要进行身份认证,以及使用哪种认证方式等。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/home") .permitAll() .and() .logout() .logoutUrl("/logout") .permitAll(); } } ``` 3. 自定义用户认证实现`UserDetailsService`接口,并重写`loadUserByUsername`方法来自定义用户认证逻辑。在该方法中,可以根据用户名从数据库或其他数据源中获取用户信息,并返回一个实现了`UserDetails`接口的对象。例如: ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found"); } return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), user.getAuthorities() ); } } ``` 4. 配置密码加密:为了保护用户密码的安全性,可以配置密码加密方式。可以使用Spring Security提供的各种加密器,例如BCryptPasswordEncoder。在配置类中添加一个`PasswordEncoder`的Bean,并在`configure`方法中使用该加密器对密码进行加密。例如: ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder()); } } ``` 这样,当用户访问需要认证的URL时,Spring Security会自动进行身份认证,并根据配置的规则进行授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值