https 双向认证

已于 2024-06-30 11:55:52 修改
阅读量306 收藏 4
点赞数 6
分类专栏: 证书 文章标签: https ssl 网络协议
于 2024-06-30 11:53:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46445628/article/details/140078731
版权

https 双向传输协议

1. 概念

1.1. 单向认证

  1. 我们在通常访问一个网站,例如百度。这是一个单向的TLS认证。
  2. 具体的过程为:
    • 服务器发送证书给客户端。
    • 客户端验证证书有效之后,客户端和服务器协商出一个对称加密密钥。
    • 由服务端的私钥加密,并发送给客户端。
    • 客户端收到之后再用公钥解密这个对称密钥。然后就开始用对称密钥加密传输的数据。
  3. 特征:
    • 服务端并不校验客户端的合法性,来者不拒,绝大部分的网站都是这种类型。
    • 只有客户端校验服务器端的合法性。

1.2. 双向认证

  1. 有时候我们在一些安全性要求较高的场景下,服务器也需要来校验客户端的合法性。
  2. 具体的过程为:
    • 在客户端验证了服务器证书的合法性之后,客户端需要带上自己的证书发送给服务器。
    • 服务器收到证书之后,比对服务器在信任链中是否信任了客户端的证书。
    • 如果信任,则服务端校验客户端合法。
    • 如果证书不在服务端的受信列表上,则拒绝服务。
  3. 这样子其实就是建立了一条双向认证的TLS传输通道。即互相校验证书。

1.3. 非对称加密交互流程

  • 如果用到的是非对称加密,那么你和第三方之间就有两对公私钥,各自持有对方的公钥和自己的私钥。网络通讯中我们一般用自己的私钥将报文加签,用第三方提供的公钥将报文中涉及安全隐私的部分加密,然后第三方会用我们提供公钥进行验签,验签通过后再用他们自己的私钥将报文加密部分解密;

1.4. csr文件

  • CSR 即证书签名申请(Certificate Signing Request),获取 SSL 证书,需要先生成 CSR 文件并提交给证书颁发机构(CA)。CSR 包含了用于签发证书的公钥、用于辨识的名称信息(Distinguished Name)(例如域名)、真实性和完整性保护(例如数字签名),通常从 Web 服务器生成 CSR;
  • 证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书私钥签名就生成了证书公钥文件,也就是颁发给用户的证书。

1.5. 生成证书相关流程

# 1. 生成客户端csr和私钥key 执行这个指令后会生成csr文件和私钥key
openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout privateKey.key -out request.csr

# 生成csr文件后,将csr文件发送给甲方,甲方签发了ca.pem给我们

# 后续访问甲方接口,就一直携带ca.pem和本地私钥 用于传输过程中的文件和数据加密;

2. 使用springboot实现https双向传输协议实例

2.1. 配置证书和私钥路径

  • 在配置文件中配置证书和私钥路径,使得项目能够访问到;
  • ca.pem,privateKey.key

2.2. 调用请求方法

 // 调用方法
    resp = apiService.request(true, POST, url, req);

2.3. ApiService层方法

   
    @Override
    public String request(Boolean ssl, HttpMethod method, String url, String reqBody) throws Exception {
        // 调用下方的request方法
        return request(ssl, method, url, null, reqBody);
    }

    //    双向认证请求
    @Override
    public String request(Boolean ssl, HttpMethod method, String url, MultiValueMap<String, String> params,
            String reqBody)
            throws Exception {
        logger.info("request url to server =====> {}", url);
        logger.info("request body to server =====> {}", reqBody);
        // 根据实际需求添加请求头
        HttpHeaders headers = new HttpHeaders();
        headers.set("token", "");

        ResponseEntity<String> resp = sslService.request(ssl, url, method, headers, params, reqBody);
        String respBody = resp.getBody();
        logger.info("resp body from server =====> {}", respBody);
        return respBody;
    }

2.4. sslService类中方法

        @Override
        public ResponseEntity<String> request(Boolean ssl, String url, HttpMethod method, HttpHeaders headers,
                        MultiValueMap<String, String> params, String reqBody) throws Exception {

                HttpsClient client = !ssl ? new HttpsClient(ssl)
                                : new HttpsClient(ssl, "证书路径", "私钥路径");
                return RestClientUtil.request(client, url, method, headers, params, reqBody);

        }

2.5. HTTPS通信双向认证工具类

        /**
         * @Description //HTTPS通信双向认证工具类
         **/

        @Data
        public class HttpsClient {
        
            // true-启用双向认证,false-不启用
            private boolean ssl;
            // 服务端公钥
            private String serverPem;
            // 客户端私钥
            private String clientSK;

            public HttpsClient() {
            }

            public HttpsClient(Boolean ssl) {
                this.ssl = ssl;
            }

            public HttpsClient(Boolean ssl, String serverPem, String clientSK) {
                this.ssl = ssl;
                this.serverPem = serverPem;
                this.clientSK = clientSK;
            }

}

2.6. RestClientUtil类中方法

public static ResponseEntity<String> request(HttpsClient client, String url, HttpMethod method,
            HttpHeaders httpHeaders,
            MultiValueMap<String, String> params,
            String reqBody) throws Exception {
        httpHeaders.set("Content-Type", "application/json; charset=utf-8");
        HttpEntity<?> requestEntity = new HttpEntity<>(reqBody, httpHeaders);

        UriComponentsBuilder builder = UriComponentsBuilder.fromHttpUrl(url).queryParams(params);
//        UriComponentsBuilder builder = UriComponentsBuilder.fromUriString(url).queryParams(params);
        RestTemplate rest = client.isSsl()
                ? new RestTemplate(HttpsClientUtil.rsaHttpComponentsClientHttpRequestFactory(client))
                : new RestTemplate(generateHttpRequestFactory());
        return rest.exchange(builder.toUriString(), method, requestEntity, String.class);
    }

  /**
     * 忽略SSL证书
     *
     * @return
     */
    private static HttpComponentsClientHttpRequestFactory generateHttpRequestFactory() {

        TrustStrategy acceptingTrustStrategy = (x509Certificates, authType) -> true;

        SSLContext sslContext = null;

        try {

            sslContext = SSLContexts.custom().loadTrustMaterial(null, acceptingTrustStrategy).build();

        } catch (NoSuchAlgorithmException e) {

            e.printStackTrace();

        } catch (KeyManagementException e) {

            e.printStackTrace();

        } catch (KeyStoreException e) {

            e.printStackTrace();

        }

        SSLConnectionSocketFactory connectionSocketFactory = new SSLConnectionSocketFactory(sslContext,
                new NoopHostnameVerifier());

        HttpClientBuilder httpClientBuilder = HttpClients.custom();

        httpClientBuilder.setSSLSocketFactory(connectionSocketFactory);

        CloseableHttpClient httpClient = httpClientBuilder.build();

        HttpComponentsClientHttpRequestFactory factory = new HttpComponentsClientHttpRequestFactory();

        factory.setHttpClient(httpClient);

        return factory;
    }

2.7. HttpsClientUtil类中方法

 public static HttpComponentsClientHttpRequestFactory rsaHttpComponentsClientHttpRequestFactory(HttpsClient client)
            throws Exception {
        // 获取httpClient对象,防止重复创建--读取证书信息,对象生成后不做其他操作所以未加锁
        if (httpClient == null) {
            httpClient = createCloseableHttpClientByRsa(client);
        }
        HttpComponentsClientHttpRequestFactory httpsFactory = new HttpComponentsClientHttpRequestFactory(httpClient);
//        httpsFactory.setReadTimeout(5000);
//        httpsFactory.setConnectTimeout(5000);
        httpsFactory.setReadTimeout(60 * 1000);
        httpsFactory.setConnectTimeout(60 * 1000);
        return httpsFactory;
    }
WellAdjested
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
https双向认证
u014644574的博客
08-07 1万+
https双向认证
HTTPS双向验证
qq_40979609的博客
07-06 1623
HTTPS双向验证在实际项目中的应用目录HTTPS实际应用场景双向验证在Springboot中的配置证书简单介绍自签生成客户端服务端证书插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 目录 HTTPS实际应用场景 https双向验证原理,请自行查找,简单来说,服务端与客户端交互式时,要对客
HTTPS双向认证指南(亲测可行)
最新发布
springdk2009的博客
03-17 1934
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。实现这个场景需要以下几步:生成根公钥证书和私钥文件(root.crt/root.key);使用根证书和根证书私钥(root.crt/root.key)配合服务器端私钥颁发服务器端证书(server.crt);使用根证书和根证书私钥(root.crt/root.key)配合客户端私钥颁发客户端证书(server.crt);
HTTPS双向认证
SecularBird的专栏
09-11 656
双向认证,指的是客户端和服务器端都需要验证对方的身份,在建立HTTPS连接的过程中,握手的流程相对于单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。
iOS实用教程之Https双向认证详解
08-30
iOS实用教程之Https双向认证详解 本篇文章主要介绍了iOS中Https双向认证的相关知识点,它对大家具有非常重要的参考学习价值。 什么是Https双向认证 Https双向认证是一种安全认证机制,它可以确保客户端与服务端...
https双向认证ukey管理软件
10-14
HTTPS双向认证UKey管理软件是用于确保网络安全和数据完整性的专业工具,特别是在金融、医疗、政府等对数据安全要求极高的行业中广泛应用。该软件的主要功能是管理UKey(USB Key),这是一种硬件设备,通常用于存储...
C语言https客户端双向认证
09-04
本文将深入探讨如何使用C语言实现一个支持双向认证HTTPS客户端。 首先,双向认证(Mutual Authentication)是网络安全的一种机制,它要求客户端和服务端都必须提供有效的身份证明才能进行通信。在HTTPS双向认证...
https双向认证 .doc
08-19
Java实现HTTPS双向认证详解 HTTPS双向认证是指客户端和服务端都需要拥有证书,并且双方都需要互换证书,客户端安装服务端证书,服务端安装客户端证书。这种情况下,并不是所有用户都可以访问服务端的。只有服务端...
Https双向认证+加密狗配置教程
01-06
Https双向认证+ET199加密狗配置usb硬件证书认证,如果有其他问题 下载过文档的同学肯定一帮到底!
HTTPS实战之单向验证和双向验证
lgxzzz的博客
05-08 4719
(全文太长,太懒不想看,-_-b 那就直接拉到底部看总结 ) 前面的文章中,提到了,https是在TCP协议与http之间加了一个控制安全传输的SSL协议,也就是说,直接运行在TCP之上的HTTP是普通的HTTP,运行在SSL/TLS上的HTTP则是HTTPS。这几个协议在计算机网络的OSI七层模型中的位置如下表所示: 层级 层名 常用协议 7 应用层 HTTP/HTTPS、FTP、Soc
Https单向认证双向认证
热门推荐
duanbokan的专栏
03-10 11万+
HTTPS双向认证过程
HTTPS双向认证(Mutual TLS authentication)
猥琐的刚的博客
03-10 8100
HTTPS双向认证(Mutual TLS authentication) 双向认证,顾名思义,客户端和服务器端都需要验证对方的身份,在建立Https连接的过程中,握手的流程比单向认证多了几步。单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。 原理 单向认证流程中,服务器端保存着公钥证书和私钥
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.csdn.net/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...
使用Nginx实现HTTPS双向验证的方法
fjz_lihuapiaoxiang的博客
12-19 8979
单向验证与双向验证的区别: 单向验证: 指客户端验证服务器端证书,服务器并不需要验证客户端证书。 双向验证:指客户端验证服务器端证书,而服务器也需要通过CA的公钥证书来验证客户端证书。 详细的握手过程: 单向验证 浏览器发送一个连接请求给安全服务器。 1、服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。 2、客户浏览器检查服务器送过来的证书是否是
关于Https安全性问题、双向验证防止中间人攻击问题
Dr的专栏
01-18 2万+
关于Https安全性问题、双向验证防止中间人攻击问题最近项目中遇到一个问题,安全测试时反馈出,利用fiddler截取到了客户端与后台的https接口的明文内容,这是一个可怕的问题,那么接下来我从下面几点做一些概述和代码举例。1、Https比Http安全性? 是的,Https是以安全为目标的Http版本,在Http上使用SSL层,进行加密传输(对称和非对称加密),还具备身份验证的功能(下面会重点说H
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值