Springboot中基于X509完成SSL检验的原理与实践

news2024/11/17 5:46:28

前言

各位对HTTPS不陌生吧?几乎涉及安全的领域,均要求通过HTTPS协议进行数据传输。而在传输过程中,又涉及到了SSL证书的使用。既然提到了SSL证书,那咱们先了解了解什么是SSL证书

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layerSSL,安全套接层)安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。——百度百科

简单讲,是一个连接客户与服务之间的“安全通道”。通过它,我们可以确保数据的完整性、保密性,实现防泄露,防篡改等安全目的。

在这里插入图片描述

一、SSL原理

因为SSL证书可以满足绝大多数场景的数据传输安全,所以越来越多的数据厂商或者云服务商皆提供了免费的SSL证书服务。当然也有收费的(推荐),毕竟数据安全永远是第一位的,“不怕一万,只怕万一”

1. 底层交互图

在这里插入图片描述

2. 重要术语

术语作用
CA(Certificate Authority,证书授权)一般理解为证书的服务机构。 负责证书签发、审核等。
Server使用证书的服务方
Client使用证书的客户方

一句话总结CAServer签发一个有效的证书,当Client请求Server时,先会收到一个证书,Client基于此证书完成核验并协商下一步数据的传输。

二、SSL验证基础

1. X.509简介

X.509 是密码学里公钥证书的格式标准。 X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里。同时它也用在很多非在线应用场景里,比如电子签名服务。
X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)。对于一份经由可信的证书签发机构签名或者可以通过其它方式验证的证书,证书的拥有者就可以用证书及相应的私钥来创建安全的通信,对文档进行数字签名。另外除了证书本身功能,X.509还附带了证书吊销列表和用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法。
X.509是ITU-T标准化部门基于他们之前的ASN.1定义的一套证书标准。

一句话总结X.509是一个证书规范和标准,据此我们可以完成相应的证书签发、核验等操作。

2. Java核心类

2.1 javax.net.ssl.SSLContext

根据javadocSSLContext是SSL协议的封装类。
在这里插入图片描述

解释:此类的实例表示安全套接字协议的实现,它充当用于安全套接字工厂或 SSLEngine 的工厂。用可选的一组密钥和信任管理器及安全随机字节源初始化此类。

2.2 java.security.cert.X509Certificate

根据javadoc可知X509Certificate是SSL证书的封装类。
在这里插入图片描述

解释:X.509 是证书的抽象类。此类提供了一种访问 X.509 v1 证书所有属性的标准方式。无法通过此接口提供专用于 X.509 v2 或 v3 的属性。以后的 API 发展会提供对全部 X.509 v3 属性的完全访问。
基本的 X.509 格式由 ISO/IEC 和 ANSI X9 所定义,用 ASN.1 描述如下:
Certificate ::= SEQUENCE {
tbsCertificate TBSCertificate,
signatureAlgorithm AlgorithmIdentifier,
signature BIT STRING }

这些证书被广泛使用以支持 Internet 安全系统中的身份验证和其他功能。常见的应用包括增强保密邮件 (PEM)、传输层安全 (SSL)、用于受信任软件发布的代码签名和安全电子交易 (SET)。
由证书颁发机构 (CA) 来管理和担保这些证书。CA 的工作是创建证书,方法是将数据置于 X.509 标准格式,然后以数字方式签署该数据。CA 充当受信任的第三方,在不能直接通信的主体之间传递信息。CA 证书可由其自身签名,也可由其他 CA 签名,如“根”CA。

2.3 javax.net.ssl.X509TrustManager

根据javadoc可知X509TrustManager是SSL证书验证的“凭据”封装类。
在这里插入图片描述

解释:TrustManager 负责管理做出信任决定时使用的的信任材料,也负责决定是否接受同位体提供的凭据。通过使用 TrustManagerFactory,或实现 TrustManager 子类之一创建 TrustManager。

三、SSL验证示例

通过一、二的介绍,我们具备了一定的理论基础实践方向,接下来可以通过一个示例“小试牛刀”了。且看以下代码:

SSLContext sc = SSLContext.getInstance("ssl");
sc.init(null, new TrustManager[] { new X509TrustManager() {

	@Override
	public X509Certificate[] getAcceptedIssuers() {
		// TODO Auto-generated method stub
		return null;
	}

	@Override
	public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
		// 验证服务器证书链
        TrustManagerFactory trustManagerFactory;
		try {
			trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
			trustManagerFactory.init((KeyStore) null);
			TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
			
			for (TrustManager trustManager : trustManagers) {
				if (trustManager instanceof X509TrustManager) {
					((X509TrustManager) trustManager).checkServerTrusted(chain, authType);
					return;
				}
			}
		} catch (NoSuchAlgorithmException e1) {
			// TODO Auto-generated catch block
			e1.printStackTrace();
		} catch (KeyStoreException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
        throw new CertificateException("验证证书失败,请核查!");
	}

	@Override
	public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
		// TODO Auto-generated method stub

	}
} }, new java.security.SecureRandom());

在对SSL验证的时候,我们主要关注服务端证书的有效性,因此只需对其中的checkServerTrusted方法进行实现。你只需要将以上代码贴在一个POST请求中,即可完成对服务端SSL证书的验证。

结语

本文对Springboot中如何完成服务端SSL证书的校验进行了介绍,相关背景和支持的工具均已阐述并提供。如需满足此需求,可直接贴博主的示例源码即可,欢迎关注与支持。


在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2116732.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

生信代码入门:从零开始掌握生物信息学编程技能

少走弯路,高效分析;了解生信云,访问 【生信圆桌x生信专用云服务器】 : www.tebteb.cc 介绍 生物信息学是一个高度跨学科的领域,结合了生物学、计算机科学和统计学。随着高通量测序技术的发展,海量的生物数据需要通过编程来进行处理和分析。因此&#x…

如何使用云服务器AutoDL进行炼丹

如何使用云服务器进行炼丹 文章目录 如何使用云服务器进行炼丹1、选择平台2、学生认证3、租用新实例1)创建实例2)选择镜像3)注意事项 4、文件传输1)下载XFTP,用来传输文件2)XFTP连接 5、pycharm远程连接1&a…

【Github项目推荐】DataLoom

项目推荐 - DataLoom 项目背景 在数据驱动的时代,越来越多的企业和个人用户需要从复杂的数据中提取出高价值的信息。然而,传统的数据处理和分析流程复杂且耗时,需要技术人员的深度参与。那么,有没有一种工具能够简化这一过程&am…

Linux:归档及压缩

tar命令 • tar 集成备份工具 – -c:创建归档 – -x:释放归档 – -f:指定归档文件名称,必须在所有选项的最后 – -z、-j、-J:调用 .gz、.bz2、.xz 格式工具进行处理 – -t:显示归档中的文件清单 – -C:指定…

十年多空局

我收到的有关大洋彼岸的推送: 微信和头条上的长者们, 讲着他们小时候没有的GPU和生物技术, 看多 B站上的年轻人, 谈着他们一知半解的制度设计和宏观经济, 看空 十年尺度的看空与看多

githup怎么上传自己的项目

(1)首先进入自己要上传项目的文件夹中,然后点击Open git Bash here. (2)然后进入下面界面,输入git init (3)然后就会生成一个.git的文件夹 (4)输入git add *…

如何处理软件卸载不干净的情况?

如何处理软件卸载不干净的情况? 一、清理注册表 下载CCleaner,下载之后,点击settings,将语言改为中文。 点击注册表,点击扫描问题-修复选定的问题,最好将之前的注册表完整备份。 反复这一过程&#xff0c…

Spring Boot集成Tess4J实现OCR

1.什么是Tess4j? Tesseract是一个开源的光学字符识别(OCR)引擎,它可以将图像中的文字转换为计算机可读的文本。支持多种语言和书面语言,并且可以在命令行中执行。它是一个流行的开源OCR工具,可以在许多不同…

PHP-FPM 远程代码执行漏洞(CVE-2019-11043)复现

启动容器 docker-compose up -d 查看端口 docker ps 端口为:8080,访问网站,搭建成功 安装漏洞利用工具 攻击 go run . "http://172.16.1.14:8080//index.php" 显示漏洞利用成功,浏览器进行访问,成功复现

微信小程序开发项目详细讲解

​ 大家好,我是程序员小羊! 前言: 微信小程序是一种无需下载安装即可使用的应用程序,基于微信平台开发,能够提供类似原生应用的体验。以下是微信小程序开发的详细讲解,涵盖从项目准备、开发环境搭建到关键…

【无标题】符文价值的退化页

我们利用现有的符文体系建立了一个健全的符文扩展空间,可假若符文让我们感到十分困惑,我们不介意毁灭它们,让一切回到没有字迹的蛮荒纪。 如此,眼睛也失去了作用。我们的成GUO也会给后来者提供又是一DUI 令人眼花缭乱的无用符咒。…

DIC技术助力新能源汽车主机厂力学测试研发与整车性能提升

在新能源汽车研发过程中,非接触式全视场应变DIC测量方案,越来越受到汽车主机厂的信赖与认可。传统接触式传感器,在精度、灵活性和数据处理能力上存在局限。DIC技术可提供精确、高效、全视场、便捷的非接触式测量解决方案。 在汽车研发阶段&a…

OPCUA-PLC

下载opcua服务器(有PLC可以直连),UaAnsiCServer下载路径 双击运行如下,Endpoint显示opcua服务路径 opc.tcp://DESKTOP-9SD7K4B:48020 下载opcua客户端(类似编写代码连接操作),UaExpert下载路径 如果连接失败,有一个授权认证,点击同意就行 java代码实现连接opcUA操作 pom.…

Qt-QWidget的cursor属性(17)

目录 描述 相关API 使用 内置样式 使用ui界面操作 使用代码操作 自定义样式 热点修改 图片缩放 阿里巴巴矢量图 描述 这个是用来设置你的光标的样式的,具体来说是设置你程序内的光标样式,不是设置你系统的,当然我们也可以设置系统…

Java并发:互斥锁,读写锁,Condition,StampedLock

3,Lock与Condition 3.1,互斥锁 3.1.1,可重入锁 锁的可重入性(Reentrant Locking)是指在同一个线程中,已经获取锁的线程可以再次获取该锁而不会导致死锁。这种特性允许线程在持有锁的情况下,可…

JavaSE——封装、继承和多态

1. 封装 1.1 概念 面向对象程序三大特性:封装、继承、多态 。而类和对象阶段,主要研究的就是封装特性。何为封装呢?简单来说就是套壳屏蔽细节 。 比如:对于电脑这样一个复杂的设备,提供给用户的就只是:开…

嵌入式开发与应用实验三——定时器实现一秒闪烁一次

一、实验目的 1. 掌握使用 STM32 的通用定时器 TIM6/7实现 1s 定时的方法; 2. 掌握 STM32 的定时器的原理及基本功能; 3. 掌握定时器的基本配置功能。 二、实验内容 编程实现,利用定时器TIM6/7定时1秒,每隔1秒控制PBO端口 LED…

动态加载类对象

目录 框架时序图类图 ros中提供了动态加载class的方式。这样可以做到应用代码和class所在的so解耦合。一般情况下,使用dlopen动态加载C风格函数,C风格的类无法直接使用dlopen加载,通过ros中的这种方式,可以做到动态加载。 其思想核…

Gmsh:一个开源的三维有限元网格生成工具

Gmsh 是一个开源的三维有限元网格生成工具,主要用于在计算流体力学(CFD)和有限元分析(FEA)中生成复杂几何体的网格。它具有强大的几何建模、网格生成、求解器接口和后处理功能。Gmsh 适用于多种物理领域的模拟,包括流体力学、结构分析、电磁学等。 下载地址:https://gm…

软件工程知识点总结(3):需求分析(二)——分析模型建模

1 类(Class)、对象(Object)和它们之间的关系是面向对象技术中最基本的元素。类图 技术是 OO 方法的核心。 类图标加上它们之间的关系就构成了类图。 说明:类图描述类和类之间的静态关系。它不仅显示了信息的结构,同时还描述 了系统的行为。类图中可以包…