jdk11 httpclient 忽略域名校验(hostname校验)配置方法及源码探究

已于 2024-05-11 15:33:45 修改
阅读量405 收藏 3
点赞数 5
文章标签: java https
于 2024-04-13 10:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44670774/article/details/137497640
版权
文章探讨了在使用JDK11的Httpclient时如何实现证书双向认证但忽略域名校验的问题,虽然尝试通过SSLParameters设置,但因内部类限制,最终解决方案是在系统属性中设置`jdk.internal.httpclient.disableHostnameVerification`。
摘要由CSDN通过智能技术生成

最近在使用JDK11及以后支持的Httpclient,需求是需要证书双向认证,但是要忽略域名的校验,以前用apache httpclient的时候有一个DefaultHostnameVerifier可以会忽略域名校验,但是jdk自带的httpclient并没有支持此功能。

一句话解决方案:

代码配置

final Properties props = System.getProperties();
props.setProperty("jdk.internal.httpclient.disableHostnameVerification", Boolean.TRUE.toString());

或者启动参数配置

 -Djdk.internal.httpclient.disableHostnameVerification

下面是源码探究。

在使用httpclient时,会发现它支持配置SslParams, SSLParameters是SSLEngine使用的,如果SSLParametersidentificationAlgorithm属性为空,SSLEngine就会跳过校验域名,代码在:
sun.security.ssl.X509TrustManagerImpl的288行,代码如下:

 // check endpoint identity
            String identityAlg = engine.getSSLParameters().
                    getEndpointIdentificationAlgorithm();
// 发现为空就跳过域名的校验
            if (identityAlg != null && !identityAlg.isEmpty()) {
                checkIdentity(session, trustedChain,
                        identityAlg, checkClientTrusted);
            }

那么我们是不是就可以配置httpclient的SSLParameters,直接达成目标呢?

        SSLParameters parameters = new SSLParameters();
        parameters.setEndpointIdentificationAlgorithm("");
        var httpClient = HttpClient.newBuilder()
                ...
                .sslParameters(parameters)
                .build();

看起来我们是配置成功了,但是实际使用时仍然会发现该配置无效,原因是这个配置项被Httpclient丢弃了,在jdk.internal.net.http.AbstractAsyncSSLConnectioncreateSSLParameters(HttpClientImpl client, ServerName serverName,String[] alpn)方法,可以看到用于创建SSLEngine的SSLParameters被创建的过程:

private static SSLParameters createSSLParameters(HttpClientImpl client,
                                                     ServerName serverName,
                                                     String[] alpn) {
        SSLParameters sslp = client.sslParameters();
        // 复制了一份 SSLParameters
        SSLParameters sslParameters = Utils.copySSLParameters(sslp);
        // 其他配置内容

        // 重点: disableHostnameVerification 这个变量会导致我们配置的IdentificationAlgorithm被覆盖!
        if (!disableHostnameVerification)
            sslParameters.setEndpointIdentificationAlgorithm("HTTPS");
       
        return sslParameters;
    }

在代码中可以发现,AbstractAsyncSSLConnection的disableHostnameVerification属性会导致我们配置的sslParams.identificationAlgorithm被覆盖,从而导致配置无效。

继续跟下去,disableHostnameVerificationjdk.internal.net.http.common.Utils.isHostnameVerificationDisabled属性,而类 jdk.internal.net.http.common.Utils是httpclient的内部类,未对外开放,所以我们无法在外部修改。通过阅读java.net.httpmodule-info.java,里面有说明可以修改此变量:

jdk.internal.httpclient.disableHostnameVerification (default: false) 
If true (or set to an empty string), hostname verification in SSL certificates is disabled. This is a system property only and not available in conf/ net. properties. It is provided for testing purposes only.

由此,真相大白,这项配置必须在system property中配置。

夏木瑾苏1
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
java jdk https,允许Java JDK 11 HttpClient的不安全的HTTPS连接
weixin_33585152的博客
02-13 598
Sometimes it is needed to allow insecure HTTPS connections, e.g. in some web-crawling applications which should work with any site. I used one such solution with old HttpsURLConnection API which was r...
关于HttpClient绕过SSL认证以及NTLM认证
qq_44005305的博客
02-03 1244
本篇文章只涉及本人在工作上使用HttpClient遇到的情况,并不会详细地展开讲如何使用HttpClient.NTLM是NT LAN Manager的缩写,这也说明了协议的来源。NTLM 是 Windows NT 早期版本的标准安全协议,Windows 2000 支持 NTLM 是为了保持向后兼容。Windows 2000内置三种基本安全协议之一。NTLM的原理NTLM的工作原理描述。
java证书不安全_证书不安全解决HttpClient 如何忽略证书验证 - ALLOW_ALL_HOSTNAME_VERIFIER...
weixin_28807529的博客
02-27 1592
HttpClient 如何忽略证书验证 - ALLOW_ALL_HOSTNAME_VERIFIER1。设置可以访问HTTPSFunction - getNewHttpClientJava代码/***@Title:getNewHttpClient*@Description:MethodsDescription*@param@return*@returnHttpClient*@th...
HttpClient4.5 对HostnameVerifier的处理策略
热门推荐
a442828032的博客
05-04 1万+
除了信任验证和客户端身份验证在SSL/TLS协议层进行之外,HttpClient可以有选择的验证目标主机名是否跟服务端存储在X.509认证里的一致,一旦连接已经建立,这种验证可以为服务器认证提供额外的保障,javax.net.ssl.HostnameVerifier 接口代表了主机名验证的一种策略,HttpClient附带了两中javax.net.ssl.HostnameVerifier的实现,注...
HttpClient 如何忽略证书验证访问https - ALLOW_ALL_HOSTNAME_VERIFIER
kavinhub
12-17 1593
HttpClient 如何忽略证书验证 - ALLOW_ALL_HOSTNAME_VERIFIER   1。设置可以访问HTTPS   Function - getNewHttpClient    /** * @Title: getNewHttpClient * @Description: Methods Description * @param @return ...
证书不安全解决HttpClient 如何忽略证书验证 - ALLOW_ALL_HOSTNAME_VERIFIER
tiantianchuqiji的博客
08-03 1万+
HttpClient 如何忽略证书验证 - ALLOW_ALL_HOSTNAME_VERIFIER   1。设置可以访问HTTPS   Function - getNewHttpClient    Java代码   /**       * @Title: getNewHttpClient       * @Description: 
java httpclient 关闭_java – 每次使用后不关闭DefaultHttpClient()的解决方法
weixin_36328790的博客
02-24 1630
每次我执行Http请求时,我都会调用此方法private JSONObject getRequest(HttpUriRequest requestType) {httpClient = new DefaultHttpClient(); // Creating an instance heretry {httpResponse = httpClient.execute(requestType);if...
JDK 11 HttpClient的基本使用指南
08-08
Java 11及更高版本中,HttpClient是一个重要的新特性,它提供了非阻塞的HTTP请求执行能力,并可以通过`CompletableFuture`处理响应,这使得基于异步编程的HTTP客户端操作变得更加便捷。本教程将深入探讨如何使用...
JDK各版本文件校验
01-08
现在官网下载JDK需要登录,而且下载速度也特别慢,但通过其它渠道下载特别大的风险(XcodeGhost 事件),于是在此提供 JDK11.0.6 的文件校验值。 SHA1: 62 d0 23 0f f2 b0 7b 63 9a 77 02 4e 06 90 69 3f 28 25 f9...
jdk11源码src文件
01-28
**JDK 11源码分析** JDK 11Java开发工具包的一个重要版本,它包含了Java语言的关键组件和库。这个源码src.zip文件提供了深入理解Java平台内部工作原理的机会,对于开发者来说是宝贵的资源。让我们逐一探讨其中...
JDK11安装包文件、附带环境配置教程(全网最详情,值得收藏)
04-20
JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK11JDK...
JDK11源码 jdk-11.0.4 src源码
10-09
《深入解析JDK11源码:以jdk-11.0.4-src为例》 在Java编程领域,深入理解JDK源码是提升技术能力的重要途径。JDK11作为Java开发工具包的一个重要版本,引入了许多新特性和改进,为开发者提供了更高效、更安全的编程...
JDK HttpClient HTTPS请求绕过SSL证书校验
weixin_43115108的博客
03-23 309
【代码】JDK HttpClient HTTPS请求绕过SSL证书校验
java忽略证书验证(兼容http,https)
抽象的螺旋
01-03 9349
java忽略证书验证
HttpClient4.5.2 HttpClientBuilder配置使用连接池
xiaozhuangyumaotao的博客
07-15 7309
先看示例代码,代码有点长,不过大家理清思路来看应该不是问题: importjava.io.IOException; importjava.security.cert.X509Certificate; importjava.util.ArrayList; importjava.util.List; importjavax.net.ssl.SSLContext; importjavax.net.ssl.TrustManager; importjavax.net.ssl.X509TrustMa...
使用Java执行mTLS调用
i6588662的博客
03-04 1117
在本教程中,我们将学习如何通过使用不同的客户端使我们的Java应用程序能够使用mTLS。我们将使用将mTLS添加到Nginx实例的现有示例。 假设我们有一个Nginx实例,使用SSL还有。如果使用Java与使用mTLS保护的服务进行交互,则需要对代码库进行一些更改。在本教程中,我们将使Java应用程序能够使用不同客户端的mTLS。 要快速入门,我们可以使用现有的示例添加MTLS一个Nginx实例。我们的java mTLS配置将使用用于将mTLS添加到Nginx的证书和密钥。 为了为我们的Java客户端
httpclent 访问https 忽略host检查 和一些 认证过程
n517052183的专栏
04-07 2195
http  4.3以前的 HttpClient httpClient = httpClient1; // 创建TrustManager X509TrustManager xtm = new X509TrustManager() { public void checkClientTrusted(X509Certificate[] chain,
(八)netty的SSL renegotiation攻击漏洞
weixin_33782386的博客
01-11 2373
为了满足安全规范,从http改造成https(见(四)启用HTTPS),然而启用https后就可以高枕无忧了吗?绿盟告诉你:当然不,TLS Client-initiated 重协商攻击(CVE-2011-1473)了解一下。 1. 漏洞 报告是这样的: 详细描述 该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renego...
伐木工 (100%用例)D卷 (Java&&Python&&C++&&Node.js&&C语言)
最新发布
荆赫同艺的博客
08-07 313
一根 4米长的树木,伐木工不需要切割为 2*2,省去切割成本,直接整根树木交易,为 4*1,收益最大为 4。方式二: 3,2,2,3,但方式二,伐木工多切割一次,增加了切割成本却卖了一样的价格,因此并不是最优收益。一根 2 米长的树木,伐木工不切割,为2*1,收益最大为 2。一根5 米长的树木,伐木工切割为 2*3,收益最大为 6。输出最优收益时的各个树木长度,以空格分隔,按升序排列。一根 10 米长的树木,伐木工可以切割。方式一:3,4,4,也可以切割为。
jdk11 httpclient
09-09
jdk11中的HttpClient是一个用于发送HTTP请求的工具类,它是在jdk11中正式启用的。它的目的是取代比较古老的开发工具,如HttpURLConnection和Apache HttpClient。可以使用HttpClient类的builder方法创建一个HttpClient对象,并通过链式调用设置一些属性,如协议版本、连接超时时间、转发策略、线程池等。最后通过调用build方法完成HttpClient的创建工作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值