springboot實(shí)現(xiàn)https雙向傳輸協(xié)議的示例代碼

更新時(shí)間：2025年03月14日 09:41:24 作者：WellAdjested

本文主要介紹了springboot實(shí)現(xiàn)https雙向傳輸協(xié)議的示例代碼,包含配置證書和私鑰路徑、調(diào)用請(qǐng)求方法等步驟,具有一定的參考價(jià)值,感興趣的可以了解一下

1.https 雙向傳輸協(xié)議概念

1.1. 單向認(rèn)證

我們?cè)谕ǔＴL問(wèn)一個(gè)網(wǎng)站，例如百度。這是一個(gè)單向的TLS認(rèn)證。
具體的過(guò)程為：
- 服務(wù)器發(fā)送證書給客戶端。
- 客戶端驗(yàn)證證書有效之后，客戶端和服務(wù)器協(xié)商出一個(gè)對(duì)稱加密密鑰。
- 由服務(wù)端的私鑰加密，并發(fā)送給客戶端。
- 客戶端收到之后再用公鑰解密這個(gè)對(duì)稱密鑰。然后就開始用對(duì)稱密鑰加密傳輸?shù)臄?shù)據(jù)。
特征：
- 服務(wù)端并不校驗(yàn)客戶端的合法性，來(lái)者不拒，絕大部分的網(wǎng)站都是這種類型。
- 只有客戶端校驗(yàn)服務(wù)器端的合法性。

1.2. 雙向認(rèn)證

有時(shí)候我們?cè)谝恍┌踩砸筝^高的場(chǎng)景下，服務(wù)器也需要來(lái)校驗(yàn)客戶端的合法性。
具體的過(guò)程為：
- 在客戶端驗(yàn)證了服務(wù)器證書的合法性之后，客戶端需要帶上自己的證書發(fā)送給服務(wù)器。
- 服務(wù)器收到證書之后，比對(duì)服務(wù)器在信任鏈中是否信任了客戶端的證書。
- 如果信任，則服務(wù)端校驗(yàn)客戶端合法。
- 如果證書不在服務(wù)端的受信列表上，則拒絕服務(wù)。
這樣子其實(shí)就是建立了一條雙向認(rèn)證的TLS傳輸通道。即互相校驗(yàn)證書。

1.3. 非對(duì)稱加密交互流程

如果用到的是非對(duì)稱加密，那么你和第三方之間就有兩對(duì)公私鑰，各自持有對(duì)方的公鑰和自己的私鑰。網(wǎng)絡(luò)通訊中我們一般用自己的私鑰將報(bào)文加簽，用第三方提供的公鑰將報(bào)文中涉及安全隱私的部分加密，然后第三方會(huì)用我們提供公鑰進(jìn)行驗(yàn)簽，驗(yàn)簽通過(guò)后再用他們自己的私鑰將報(bào)文加密部分解密;

1.4. csr文件

CSR 即證書簽名申請(qǐng)（Certificate Signing Request），獲取 SSL 證書，需要先生成 CSR 文件并提交給證書頒發(fā)機(jī)構(gòu)（CA）。CSR 包含了用于簽發(fā)證書的公鑰、用于辨識(shí)的名稱信息（Distinguished Name）（例如域名）、真實(shí)性和完整性保護(hù)（例如數(shù)字簽名），通常從 Web 服務(wù)器生成 CSR；
證書申請(qǐng)者只要把CSR文件提交給證書頒發(fā)機(jī)構(gòu)后，證書頒發(fā)機(jī)構(gòu)使用其根證書私鑰簽名就生成了證書公鑰文件，也就是頒發(fā)給用戶的證書。

1.5. 生成證書相關(guān)流程

# 1. 生成客戶端csr和私鑰key 執(zhí)行這個(gè)指令后會(huì)生成csr文件和私鑰key
openssl req -new -nodes -sha256 -newkey rsa:2048 -keyout privateKey.key -out request.csr

# 生成csr文件后，將csr文件發(fā)送給甲方，甲方簽發(fā)了ca.pem給我們

# 后續(xù)訪問(wèn)甲方接口，就一直攜帶ca.pem和本地私鑰 用于傳輸過(guò)程中的文件和數(shù)據(jù)加密;

2. 使用springboot實(shí)現(xiàn)https雙向傳輸協(xié)議實(shí)例

2.1. 配置證書和私鑰路徑

在配置文件中配置證書和私鑰路徑，使得項(xiàng)目能夠訪問(wèn)到;
ca.pem，privateKey.key

2.2. 調(diào)用請(qǐng)求方法

 // 調(diào)用方法
    resp = apiService.request(true, POST, url, req);

2.3. ApiService層方法

  @Override
    public String request(Boolean ssl, HttpMethod method, String url, String reqBody) throws Exception {
        // 調(diào)用下方的request方法
        return request(ssl, method, url, null, reqBody);
    }

    //    雙向認(rèn)證請(qǐng)求
    @Override
    public String request(Boolean ssl, HttpMethod method, String url, MultiValueMap<String, String> params,
            String reqBody)
            throws Exception {
        logger.info("request url to server =====> {}", url);
        logger.info("request body to server =====> {}", reqBody);
        // 根據(jù)實(shí)際需求添加請(qǐng)求頭
        HttpHeaders headers = new HttpHeaders();
        headers.set("token", "");

        ResponseEntity<String> resp = sslService.request(ssl, url, method, headers, params, reqBody);
        String respBody = resp.getBody();
        logger.info("resp body from server =====> {}", respBody);
        return respBody;
    }

2.4. sslService類中方法

        @Override
        public ResponseEntity<String> request(Boolean ssl, String url, HttpMethod method, HttpHeaders headers,
                        MultiValueMap<String, String> params, String reqBody) throws Exception {

                HttpsClient client = !ssl ? new HttpsClient(ssl)
                                : new HttpsClient(ssl, "證書路徑", "私鑰路徑");
                return RestClientUtil.request(client, url, method, headers, params, reqBody);

        }

2.5. HTTPS通信雙向認(rèn)證工具類

        /**
         * @Description //HTTPS通信雙向認(rèn)證工具類
         **/

        @Data
        public class HttpsClient {
        
            // true-啟用雙向認(rèn)證，false-不啟用
            private boolean ssl;
            // 服務(wù)端公鑰
            private String serverPem;
            // 客戶端私鑰
            private String clientSK;

            public HttpsClient() {
            }

            public HttpsClient(Boolean ssl) {
                this.ssl = ssl;
            }

            public HttpsClient(Boolean ssl, String serverPem, String clientSK) {
                this.ssl = ssl;
                this.serverPem = serverPem;
                this.clientSK = clientSK;
            }

}

2.6. RestClientUtil類中方法

public static ResponseEntity<String> request(HttpsClient client, String url, HttpMethod method,
            HttpHeaders httpHeaders,
            MultiValueMap<String, String> params,
            String reqBody) throws Exception {
        httpHeaders.set("Content-Type", "application/json; charset=utf-8");
        HttpEntity<?> requestEntity = new HttpEntity<>(reqBody, httpHeaders);

        UriComponentsBuilder builder = UriComponentsBuilder.fromHttpUrl(url).queryParams(params);
//        UriComponentsBuilder builder = UriComponentsBuilder.fromUriString(url).queryParams(params);
        RestTemplate rest = client.isSsl()
                ? new RestTemplate(HttpsClientUtil.rsaHttpComponentsClientHttpRequestFactory(client))
                : new RestTemplate(generateHttpRequestFactory());
        return rest.exchange(builder.toUriString(), method, requestEntity, String.class);
    }

  /**
     * 忽略SSL證書
     *
     * @return
     */
    private static HttpComponentsClientHttpRequestFactory generateHttpRequestFactory() {

        TrustStrategy acceptingTrustStrategy = (x509Certificates, authType) -> true;

        SSLContext sslContext = null;

        try {

            sslContext = SSLContexts.custom().loadTrustMaterial(null, acceptingTrustStrategy).build();

        } catch (NoSuchAlgorithmException e) {

            e.printStackTrace();

        } catch (KeyManagementException e) {

            e.printStackTrace();

        } catch (KeyStoreException e) {

            e.printStackTrace();

        }

        SSLConnectionSocketFactory connectionSocketFactory = new SSLConnectionSocketFactory(sslContext,
                new NoopHostnameVerifier());

        HttpClientBuilder httpClientBuilder = HttpClients.custom();

        httpClientBuilder.setSSLSocketFactory(connectionSocketFactory);

        CloseableHttpClient httpClient = httpClientBuilder.build();

        HttpComponentsClientHttpRequestFactory factory = new HttpComponentsClientHttpRequestFactory();

        factory.setHttpClient(httpClient);

        return factory;
    }

2.7. HttpsClientUtil類中方法

 public static HttpComponentsClientHttpRequestFactory rsaHttpComponentsClientHttpRequestFactory(HttpsClient client)
            throws Exception {
        // 獲取httpClient對(duì)象，防止重復(fù)創(chuàng)建--讀取證書信息，對(duì)象生成后不做其他操作所以未加鎖
        if (httpClient == null) {
            httpClient = createCloseableHttpClientByRsa(client);
        }
        HttpComponentsClientHttpRequestFactory httpsFactory = new HttpComponentsClientHttpRequestFactory(httpClient);
//        httpsFactory.setReadTimeout(5000);
//        httpsFactory.setConnectTimeout(5000);
        httpsFactory.setReadTimeout(60 * 1000);
        httpsFactory.setConnectTimeout(60 * 1000);
        return httpsFactory;
    }

到此這篇關(guān)于springboot實(shí)現(xiàn)https雙向傳輸協(xié)議的示例代碼的文章就介紹到這了,更多相關(guān)springboot https雙向傳輸內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: