使用自定义签名的https的ssl安全问题解决和metro的webservice调用

最新推荐文章于 2023-10-21 14:49:06 发布
最新推荐文章于 2023-10-21 14:49:06 发布
阅读量152 收藏
点赞数
文章标签: java 运维
原文链接:http://www.cnblogs.com/qldhlbs/p/5626511.html
版权

最近一直在忙新的项目,每天加班到8点多,都没来写博客了。新的项目遇到了很多问题,现在趁着突然停电来记录下调用https的问题吧。

我们服务主要是,我们调用数据源数据,并且再提供接口供外部数据调用。

我们提供给客户的接口采用https+post的方式,调用数据源的数据是以https的webservice。由于我们的签名是自签的,所以客户调用我们的接口要绕过安全认证,我们都要在sdk里面提供给他。

      private static volatile RestfulRemoteHttpsHelper instance;
      private ConnectionConfig connConfig;
      private SocketConfig socketConfig;
      private ConnectionSocketFactory plainSF;
      private KeyStore trustStore;
      private SSLContext sslContext;
      private LayeredConnectionSocketFactory sslSF;
      private Registry<ConnectionSocketFactory> registry;
      private PoolingHttpClientConnectionManager connManager;
      private volatile HttpClient client;
      private volatile BasicCookieStore cookieStore;
      public static String defaultEncoding= "utf-8";    

        private HttpsHelper(){
        //设置连接参数
        connConfig = ConnectionConfig.custom().setCharset(Charset.forName(defaultEncoding)).build();
        socketConfig = SocketConfig.custom().setSoTimeout(100000).build();
        RegistryBuilder<ConnectionSocketFactory> registryBuilder = RegistryBuilder.<ConnectionSocketFactory>create();
        plainSF = new PlainConnectionSocketFactory();
        registryBuilder.register("http", plainSF);
        //指定信任密钥存储对象和连接套接字工厂
        try {
            trustStore = KeyStore.getInstance(KeyStore.getDefaultType());
            sslContext = SSLContexts.custom().useTLS().loadTrustMaterial(trustStore, new AnyTrustStrategy()).build();
            sslSF = new SSLConnectionSocketFactory(sslContext, SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
            registryBuilder.register("https", sslSF);
        } catch (KeyStoreException e) {
            throw new RuntimeException(e);
        } catch (KeyManagementException e) {
            throw new RuntimeException(e);
        } catch (NoSuchAlgorithmException e) {
            throw new RuntimeException(e);
        }
        registry = registryBuilder.build();
        //设置连接管理器
        connManager = new PoolingHttpClientConnectionManager(registry);
        connManager.setDefaultConnectionConfig(connConfig);
        connManager.setDefaultSocketConfig(socketConfig);
        //指定cookie存储对象
        cookieStore = new BasicCookieStore();
        //构建客户端
        client= HttpClientBuilder.create().setDefaultCookieStore(cookieStore).setConnectionManager(connManager).build();
    }

上面代码是用httpClient4.3来绕过https的请求调用。

通过webservice调用数据源的数据由于他们有专门的信任证书签发,所以可以把他们的签名证书加入信任库。关于怎么根据keystore生成truststore可以使用jdk的keytool工具,在jdk安装目录下的bin文件夹里面。

keystore生成truststore:

通过cmd进入jdk的的bin目录下,输入keytool -export -alias 别名 -keystore client.keystore -rfc -file client.cer,会提示输入密码,别名和密码需要签名方提供。生成.cer文件,文件在jdk安装目录下。再输入keytool import -alias 别名 -file client.cer -keystore client.truststore生成truststore,记住输入的密码。

把keystore和truststore加入到信任库里。

     System.setProperty("javax.net.ssl.keyStore", keyPath);
        System.setProperty("javax.net.ssl.keyStorePassword", "key-password");
        System.setProperty("javax.net.ssl.trustStore", trustPath);  
        System.setProperty("javax.net.ssl.trustStorePassword", "trust-password");

如果用axis做webservice的调用framework的话就可以使用了,这次我们用的是metro。

关于metro可以参考官网。https://metro.java.net

把metro加入到gradle依赖 --> compile 'org.glassfish.metro:webservices-rt:2.3'。

 生成client代码调用?可以借助wsimport这个工具,注意在生成代码时,加上-keep 属性,不然只会生成class文件,而木有Java文件。

生成的文件目录:

把生成的client代码导入项目中,如果不出意外的话会报subject-alternative-names-present这个异常,如果是jdk8的话,用lambda表达式

HttpsURLConnection.setDefaultHostnameVerifier((hostname, session) -> hostname.equals("主机ip"));

如果是低版本,这样

HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier()
        {
            public boolean verify(String hostname, SSLSession session)
            {
                // ip address of the service URL(like.23.28.244.244)
                if (hostname.equals("主机ip"))
                    return true;
                return false;
            }
        });

现在可以测试了,测试代码

  @Test
    public void testMetro() {

        StopWatch clock = new StopWatch("metro clock");
        QueryService queryService = queryServiceService.getQueryService();
        for (int i = 0; i < 20; i++) {
            clock.start("start the " + i + "connection");
            String result = queryService.getMethod("xxx", "xxx", "xxx", "xxx", "xxx", "xxx", null, "xxx", null, null, null, null);
            System.out.println("the first number result :" + result);
            clock.stop();
        }        
 }

为了测试性能,用到了StopWatch 这个类做时间计时器,关于StopWatch的使用搜索一大把。测试结果的效果不怎么样,因为这样是每次调用都握手,而握手的时间太长了。为了优化可以让连接keep-alive,详情参考官网

https://metro.java.net/guide/ch05.html#http-persistent-connections-keep-alive

在Java代码里实现,后面的value值可以根据实际情况来改变。

System.setProperty("http.keepAlive", "true");
System.setProperty("http.maxConnections", "250");
System.setProperty("keep-alive.max-connections", "1000");
测试结果
经过添加keep-alive,明显调用效果好了很多(这是我本机测试的,用nginx做了代理,实际部署到服务器还没测试,效果应该会更好)。
这里的webservice的性能还能再次优化,只是现在还没做。等优化好了再来记录!
语文水平不怎么样,东说一句西说一句,有点乱。关于这个项目的问题还有好多没能记录,有时间再来整理。

转载于:https://www.cnblogs.com/qldhlbs/p/5626511.html

weixin_30700099
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同步调用和异步调用WebService
09-03
本文给大家介绍webservice同步调用和异步调用,同步调用就是一个同步操作会阻塞整个当前的进程,直到这个操作完成才能执行下一段代码,异步调用不会阻塞启动操作的调用线程,调用程序必须通过轮流检测,或者等待完成...
配置registry的TLS证书
爱吃鱼的小明的博客
09-23 590
镜像仓库(server) 客户端(client) 10.0.0.45 10.0.0.55 centos7.7 ubuntu20.04 1.制作证书(server) [root@c7-45]# cd /opt/docker/ [root@c7-45 docker]# mkdir -p certs [root@c7-45 docker]# [root@c7-45 docker]# openssl req -newkey rsa:4096 -nodes -sha256 -keyout c...
Java SSL/TLS证书认证逻辑
最新发布
fenglllle的博客
10-21 1480
实际上证书的认证就是链式认证,加入根证书链,因为根证书是信任的,CA机构是认可的,那么CA颁发的根证书是信任的,经常报道的Chrome移除xxx机构颁发的根证书,表示这些证书链下的证书不信任了,毕竟公钥和私钥任何证书都能生成,证书链也可以仿造。
基于HttpClient 4.3的可访问自签名HTTPS站点的新版工具类
Slash Youth - Jack Chai
10-17 2万+
本文出处:http://blog.csdn.net/chaijunkun/article/details/40145685,转载请注明。由于本人不定期会整理相关博文,会对相应内容作出完善。因此强烈建议在原始出处查看此文。 HttpClient在当今Java应用中的位置越来越重要。从该项目的变迁过程我们不难发现,其已经从apache-commons众多的子项目中剥离,一跃成为如今的顶级项目,...
wsimport 带https协议wdsl 时报错的处理
Nuc_sun的专栏
12-30 6720
最近用wsimport处理 带https协议wdsl 时报错: E:\Projects\Sample>wsimport -s ./src -verbose https://localhost:8743/hello?wsdl 正在解析 WSDL... [ERROR] sun.security.validator.ValidatorException: PKIX path building
java wsimport https,java - 我有一个Web服务,它可以通过https进行工作,我可以使用wsimport生成Java类,但是当我调用该服务时,会收到以下异常: - SO中文参...
weixin_32593721的博客
03-13 210
当我尝试运行Soap服务调用时,我遇到了异常。com.sun.xml.internal.ws.client.ClientTransportException:HTTP传输错误:java.net.UnknownHostException:abc.xyz.ca.com在com.sun.xml.internal.ws.transport.http.client.HttpClientTransport.g...
webservice调用终极解决方案_webservice_源码
10-04
webservice终极调用解决一切问题
解决CXF webService 调用报错 Cannot create a secure XMLInputFactory
08-05
带详细解决方案说明文档,提供三种解决方式,另外包含stax2-api.jar,stax2-api-source.jar,woodstox-core-asl-4.4.1.jar,stax-ex.jar,wstx-asl-3.2.9.jar等jar文件,亲测有效。
jQuery使用Ajax方法调用WebService中文WORD版
07-22
资源名称:jQuery使用Ajax方法调用WebService 中文WORD版内容简介:本文档将jQuery使用Ajax 调用WebService 的几个常用的方法做了一个整理,提供给正在找这方面内容的朋友,希望能给学习jQuery的朋友一点帮助。...
java wsimport https,wsimport使用小结二
weixin_35873811的博客
03-13 287
那些很纠结要不要直接用wsimport生成的pojo,因为我没能找到很好的办法去转xmlGregorianCalendar到date或者java.util.Calendar,我觉得在pojo依赖ws是不可接受的,奋战了一晚上找到了在wsimport时转换的办法,为了方便日后记忆,贴上配置清单,此清单还包括了禁用 ws的wrapper style和异步方式的调用等,截获soap消息,打印log,已...
mac os 10.10以上的开启端口转发-解决mac默认不开启1024以下端口权限问题
weixin_33755554的博客
12-17 1338
2019独角兽企业重金招聘Python工程师标准>>> ...
调用 SSPI 失败,请参见内部异常,System.Net.Security.SslState.StartSendAuthResetSignal 异常解法
diaya的专栏
04-05 5302
调用 SSPI 失败,请参见内部异常,System.Net.Security.SslState.StartSendAuthResetSignal 异常解法
运行x509的库做TSL加密的时候报错“调用 SSPI 失败,请参见内部异常”。
weixin_42103688的博客
08-31 373
运行x509的库做TSL加密的时候报错“调用 SSPI 失败,请参见内部异常”的解决方法
Syatem.Net.WebException:基础连接已经关闭:未能为 SSL/TLS 安全通道建立信任关系。
moderate_people的博客
06-21 1796
System.Security.Authentication.AuthenticationException:根据验证过程,远程证书无效。 在
outlook你的邮件服务器证书无效,“根据验证程序,远程证书无效。”使用Gmail SMTP服务器...
weixin_36089954的博客
07-29 988
我收到这个错误:根据验证程序,远程证书无效。每当我尝试使用我的C#代码中的Gmail SMTP服务器发送电子邮件时。有人能指出我找到解决这个问题的正确方向吗?以下是堆栈跟踪...at System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncReque...
远程服务器证书无效,“根据验证程序,远程证书无效。”使用Gmail SMTP服务器...
weixin_36196164的博客
07-30 1136
我收到这个错误:根据验证程序,远程证书无效。每当我尝试使用我的C#代码中的Gmail SMTP服务器发送电子邮件时。有人能指出我找到解决这个问题的正确方向吗?以下是堆栈跟踪...at System.Net.Security.SslState.StartSendAuthResetSignal(ProtocolToken message, AsyncProtocolRequest asyncReque...
HttpClient(4.3.5)请求数据,支持https
shenyunsese的专栏
11-13 1万+
HttpClient包是一个优秀的Http请求的开源j
轻松把玩HttpClient之配置ssl,采用绕过证书验证实现https
热门推荐
崔成龙 . 勇往直前
11-16 7万+
上篇文章说道httpclient不能直接访问https的资源,这次就来模拟一下环境,然后配置https测试一下。在前面的文章中,分享了一篇自己生成并在tomcat中配置ssl的文章《Tomcat配置SSL》,大家可以据此来在本地配置https。我已经配置好了,效果是这样滴: 可以看到已经信任该证书(显示浅绿色小锁),浏览器可以正常访问。现在我们用代码测试一下: public st
日常记录
weixin_44058218的博客
03-02 171
https双向认证背景环境原理HttpClientnetty心得 背景 近期项目上由于要把服务器部署在公网上,所有提出需要对通讯加密和身份认证 主要是想记录下来 环境 客户端使用httpclient 服务端使用netty 其实使用什么都是一个原理,???? 原理 双向认证原理大家应该都知道差不多,主要是 1.服务端校验客户端的签名和根证书 2.客户端校验服务端的签名和根证书 HttpClient package demo.httpclient; import java.io.FileInputStream
webservice 调用https和http
06-07
您好,关于WebService调用HTTPS和HTTP的问题,可以参考以下步骤: 1. 首先要确保您的WebService服务端支持HTTPS协议,如果是本地测试可以使用签名证书。 2. 在客户端中添加对HTTPS的支持,可以通过配置web....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值