Java通过SSLEngine与NIO实现HTTPS访问的操作方法

目录
  • 一、连接服务器之前先初始化SSLContext并设置证书相关的操作。
    • 1.1 基于公钥CA
    • 1.2 加载Java KeyStore
  • 二、连接服务器成功后,需要创建SSLEngine对象,并进行相关设置与握手处理。
  • 三、进行握手操作
    • 3.1 握手相关状态(来自getHandshakeStatus方法)
    • 3.2处理握手的方法
  • 四、数据的发送与接收
    • 4.1加密操作(SelectionKey.OP_WRITE)
    • 4.2 解密操作(SelectionKey.OP_READ)

Java使用NIO进行HTTPS协议访问的时候,离不开SSLContext和SSLEngine两个类。我们只需要在Connect操作、Connected操作、Read和Write操作中加入SSL相关的处理即可。

一、连接服务器之前先初始化SSLContext并设置证书相关的操作。

public void Connect(String host, int port) {
     mSSLContext = this.InitSSLContext();
     super.Connect(host, port);
 }

在连接服务器前先创建SSLContext对象,并进行证书相关的设置。如果服务器不是使用外部公认的认证机构生成的密钥,可以使用基于公钥CA的方式进行设置证书。如果是公认的认证证书一般只需要加载Java KeyStore即可。

1.1 基于公钥CA

public SSLContext InitSSLContext() throws NoSuchAlgorithmException{
  // 创建生成x509证书的对象
  CertificateFactory caf = CertificateFactory.getInstance("X.509");
  // 这里的CA_PATH是服务器的ca证书,可以通过浏览器保存Cer证书(Base64和DER都可以)
  X509Certificate ca = (X509Certificate)caf.generateCertificate(new FileInputStream(CA_PATH));
  KeyStore caKs = KeyStore.getInstance("JKS");
  caKs.load(null, null);
  // 将上面创建好的证书设置到仓库里面,前面的`baidu-ca`只是一个别名可以任意不要出现重复即可。
  caKs.setCertificateEntry("baidu-ca", ca);
  TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
      tmf.init(caKs);
  // 最后创建SSLContext,将可信任证书列表传入。
  SSLContext context = SSLContext.getInstance("TLSv1.2");
  context.init(null, tmf.getTrustManagers(), null);
  return context;
}

1.2 加载Java KeyStore

public SSLContext InitSSLContext() throws NoSuchAlgorithmException{
  // 加载java keystore 仓库
  KeyStore caKs = KeyStore.getInstance("JKS");
  // 把生成好的jks证书加载进来
  caKs.load(new FileInputStream(CA_PATH), PASSWORD.toCharArray());
  // 把加载好的证书放入信任的列表
  TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
  tmf.init(caKs);
  // 最后创建SSLContext,将可信任证书列表传入。
  SSLContext context = SSLContext.getInstance("TLSv1.2");
  context.init(null, tmf.getTrustManagers(), null);
  return context;
}

二、连接服务器成功后,需要创建SSLEngine对象,并进行相关设置与握手处理。

通过第一步生成的SSLContext创建SSLSocketFactory并将当前的SocketChannel进行绑定(注:很多别人的例子都没有这步操作,如果只存在一个HTTPS的连接理论上没有问题,但如果希望同时创建大量的HTTPS请求“可能”有问题,因为SSLEngine内部使用哪个Socket进行操作数据是不确定,如果我的理解有误欢迎指正)。

然后调用创建SSLEngine对象,并初始化操作数据的Buffer,然后开始进入握手阶段。(注:这里创建的Buffer主要用于将应用层数据加密为网络数据,将网络数据解密为应用层数据使用:“密文与明文”)。

public final void OnConnected() {
  super.OnConnected();
  // 设置socket,并创建SSLEngine,开始握手
  SSLSocketFactory fx = mSSLContext.getSocketFactory();
  // 这里将自己的channel传进去
  fx.createSocket(mSocketChannel.GetSocket(), mHost, mPort, false);
  mSSLEngine = this.InitSSLEngine(mSSLContext);
  // 初始化使用的BUFFER
  int appBufSize = mSSLEngine.getSession().getApplicationBufferSize();
  int netBufSize = mSSLEngine.getSession().getPacketBufferSize();
  mAppDataBuf = ByteBuffer.allocate(appBufSize);
  mNetDataBuf = ByteBuffer.allocate(netBufSize);
  pAppDataBuf = ByteBuffer.allocate(appBufSize);
  pNetDataBuf = ByteBuffer.allocate(netBufSize);
  // 初始化完成,准备开启握手
  mSSLInitiated = true;
  mSSLEngine.beginHandshake();
  this.ProcessHandShake(null);
}

三、进行握手操作

下图简单展示了握手流程,由客户端发起,通过一些列的数据交换最终完成握手操作。要成功与服务器建立连接,握手流程是非常重要的环节,幸好SSEngine内部已经实现了证书验证、交换等步骤,我们只需要在其上层执行特定的行为(握手状态处理)。

3.1 握手相关状态(来自getHandshakeStatus方法)

NEED_WRAP当前握手状态表示需要加密数据,即将要发送的应用层数据加密输出为网络层数据,并执行发送操作。

NEED_UNWRAP当前握手状态表示需要对数据进行解密,即将收到的网络层数据解密后成应用层数据。

NEED_TASK当前握手状态表示需要执行任务,因为有些操作可能比较耗时,如果不希望造成阻塞流程就需要开启异步任务进行执行。

FINISHED当前握手已完成

NOT_HANDSHAKING表示不需要握手,这个主要是再次连接时,为了加快速度而跳过握手流程。

3.2处理握手的方法

以下代码展示了握手流程中的各种状态的处理,主要的逻辑就是如果需要加密就执行加密操作,如果需要执行解密就执行解密操作(废话@_@!)。

protected void ProcessHandShake(SSLEngineResult result){
 if(this.isClosed() || this.isShutdown()) return;
 // 区分是来此WRAP UNWRAP调用,还是其他调用
 SSLEngineResult.HandshakeStatus status;
 if(result != null){
  status = result.getHandshakeStatus();
 }else{
  status = mSSLEngine.getHandshakeStatus();
 }
 switch(status)
 {
  // 需要加密
  case NEED_WRAP:
      //判断isOutboundDone,当true时,说明已经不需要再处理任何的NEED_WRAP操作了.
      // 因为已经显式调用过closeOutbound,且就算执行wrap,
      // SSLEngineReulst.STATUS也一定是CLOSED,没有任何意义
      if(mSSLEngine.isOutboundDone()){
        // 如果还有数据则发送出去
        if(mNetDataBuf.position() > 0) {
            mNetDataBuf.flip();
            mSocketChannel.WriteAndFlush(mNetDataBuf);
        }
        break;
      }
      // 执行加密流程
      this.ProcessWrapEvent();
      break;
  // 需要解密
  case NEED_UNWRAP:
   //判断inboundDone是否为true, true说明peer端发送了close_notify,
   // peer发送了close_notify也可能被unwrap操作捕获到,结果就是返回的CLOSED
   if(mSSLEngine.isInboundDone()){
    //peer端发送关闭,此时需要判断是否调用closeOutbound
    if(mSSLEngine.isOutboundDone()){
     return;
    }
    mSSLEngine.closeOutbound();
   }
   break;
  case NEED_TASK:
   // 执行异步任务,我这里是同步执行的,可以弄一个异步线程池进行。
   Runnable task = mSSLEngine.getDelegatedTask();
   if(task != null){
    task.run();
    // executor.execute(task); 这样使用异步也是可以的,
    //但是异步就需要对ProcessHandShake的调用做特殊处理,因为异步的,像下面这直接是会导致疯狂调用。
   }
   this.ProcessHandShake(null);  // 继续处理握手
   break;
  case FINISHED:
   // 握手完成
   mHandshakeCompleted = true;
   this.OnHandCompleted();
   return;
  case NOT_HANDSHAKING:
   // 不需要握手
   if(!mHandshakeCompleted)
   {
    mHandshakeCompleted = true;
    this.OnHandCompleted();
   }
   return;
 }
}

四、数据的发送与接收

握手成功后就可以进行正常的数据发送与接收,但是需要额外在数据发送的时候进行加密操作,数据接收后进行解密操作。

这里需要额外说明一下,在握手期间也是会需要读取数据的,因为服务器发送过来的数据需要我们执行读取并解密操作。而这个操作在一些其他的例子中直接使用了阻塞的读取方式,我这里则是放在OnRead事件调用后进行处理,这样才符合NIO模型。

4.1加密操作(SelectionKey.OP_WRITE)

protected void ProcessWrapEvent(){
 if(this.isClosed() || this.isShutdown()) return;
 SSLEngineResult result = mSSLEngine.wrap(mAppDataBuf, mNetDataBuf);
 // 处理result
 if(ProcessSSLStatus(result, true)){
  mNetDataBuf.flip();
  mSocketChannel.WriteAndFlush(mNetDataBuf);
  // 发完成后清空buffer
  mNetDataBuf.clear();
 }
 mAppDataBuf.clear();
 // 如果没有握手完成,则继续调用握手处理
 if(!mHandshakeCompleted)
   this.ProcessHandShake(result);
}

4.2 解密操作(SelectionKey.OP_READ)

protected void ProcessUnWrapEvent(){
 if(this.isClosed() || this.isShutdown()) return;
 do{
  // 执行解密操作
  SSLEngineResult res = mSSLEngine.unwrap(pNetDataBuf, pAppDataBuf);
  if(!ProcessSSLStatus(res, false))
      // 这里不需要对`pNetDataBuf`进行处理,因为ProcessSSLStatus里面已经做好处理了。
   return;
  if(res.getStatus() == Status.CLOSED)
   break;
  // 未完成握手时,需要继续调用握手处理
  if(!mHandshakeCompleted)
   this.ProcessHandShake(res);
 }while(pNetDataBuf.hasRemaining());
 // 数据都解密完了,这个就可以清空了。
 if(!pNetDataBuf.hasRemaining())
   pNetDataBuf.clear();
}

到此这篇关于Java通过SSLEngine与NIO实现HTTPS访问的文章就介绍到这了,更多相关Java通过SSLEngine与NIO实现HTTPS访问内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • java使用HttpSession实现QQ访问记录

    java如何使用HttpSession实现QQ的访问记录,本文为大家揭晓答案,具体内容如下 1. 编写QQ空间数据类(QQS.java) public class QQS { private static LinkedHashMap<Integer, String> qqs = new LinkedHashMap<Integer, String>(); static{ qqs.put(10001, "张三"); qqs.put(10002, "李四&q

  • Java通过SSLEngine与NIO实现HTTPS访问的操作方法

    目录 一.连接服务器之前先初始化SSLContext并设置证书相关的操作. 1.1 基于公钥CA 1.2 加载Java KeyStore 二.连接服务器成功后,需要创建SSLEngine对象,并进行相关设置与握手处理. 三.进行握手操作 3.1 握手相关状态(来自getHandshakeStatus方法) 3.2处理握手的方法 四.数据的发送与接收 4.1加密操作(SelectionKey.OP_WRITE) 4.2 解密操作(SelectionKey.OP_READ) Java使用NIO进行H

  • Tomcat10配置端口号为443(使用https访问)

    目录 前言 前期准备 具体操作步骤 HTTP 自动跳转 HTTPS 的安全配置(可选) 如何检验配置是否成功 结语 前言 tomcat配置好了以后默认是使用8080端口访问的,也就是需要在使用"域名.com:8080"才能访问.这篇总结一下如何修改tomcat配置,使可以用"http://域名.com"或"https://域名.com" 访问. 前期准备 环境配置: 腾讯云轻量应用服务器: CentOS 8.2 64bit 远程访问推荐使用图形化

  • Netty如何设置为Https访问

    目录 Netty设置为Https访问 SSLContextFactory 处理类 Netty实现Http协议 maven依赖的包 1.netty启动入口 2.编写NettyHttpServer 3.处理http请求.处理.返回 Netty设置为Https访问 SSLContextFactory public class SSLContextFactory {        public static SSLContext getSslContext() throws Exception {   

  • Java面试突击为什么要用HTTPS及它的优点

    目录 前言 1.HTTP 2.HTTPS 2.1 解决信任问题 2.2 解决明文传输和完整性问题 加密的分类 总结 前言 说到 HTTPS 相信大部分人都是不陌生,因为目前我们使用的绝大数网站都是基于 HTTPS 的,比如以下这些:  那么问题来了,他们为什么要使用 HTTPS 呢?HTTPS 有哪些过人之处呢? 1.HTTP 在说 HTTPS 之前,我们先要了解 HTTP,因为 HTTP 是 HTTPS 通讯的基础. HTTP(HyperText Transport Protocol)超文本传

  • SpringBoot配置SSL同时支持http和https访问实现

    目录 第一步:生成证书 第二步:获取证书 第三步:增加SSL配置 第四步:配置https访问 传输层安全性协议(英语:Transport Layer Security,缩写作 TLS),及其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信,提供安全及数据完整性保障. SSL包含记录层(Record Layer)和传输层,记录层协议确定传输层数据的封装格式.传输层安全协议使用X.509认证,之后利用非对称加密演算来对通信方做身份认证,之后

  • SpringBoot中配置SSL的同时支持http和https访问

    目录 第一步:生成证书 第二步:获取证书 第三步:增加SSL配置 第四步:配置https访问 传输层安全性协议(英语:Transport Layer Security,缩写作 TLS),及其前身安全套接层(Secure Sockets Layer,缩写作 SSL)是一种安全协议,目的是为互联网通信,提供安全及数据完整性保障. SSL包含记录层(Record Layer)和传输层,记录层协议确定传输层数据的封装格式. 传输层安全协议使用X.509认证,之后利用非对称加密演算来对通信方做身份认证,之

  • java 使用JDBC构建简单的数据访问层实例详解

    本教程的目的是使用Java编写的分离的层去访问数据库中的表,这一层通常称为数据访问层(DAL) 使用DAL的最大好处是通过直接使用一些类似insert()和find()的方法简化了数据库的访问操作,而不是总是先做链接,再执行一些查询. 该层在其内部处理所有与数据库相关的调用和查询. 创建数据库 我们希望为用户创造一个简单的表,我们可以使用这些字段来创建 id        int name      varchar(200) password  varchar(200) age       in

  • JAVA利用HttpClient进行POST请求(HTTPS)实例

    最近,需要对客户的接口做一个包装,然后供自己公司别的系统调用,客户接口是用HTTP URL实现的,我想用HttpClient包进行请求,同时由于请求的URL是HTTPS的,为了避免需要证书,所以用一个类继承DefaultHttpClient类,忽略校验过程. 1.写一个SSLClient类,继承至HttpClient package com.pcmall.service.sale.miaomore.impl; import java.security.cert.CertificateExcept

  • Nginx搭建HTTPS服务器和强制使用HTTPS访问的方法

    HTTPS简介 HTTPS(Hyper Text Transfer Protocol Secure),是一种基于SSL/TLS的HTTP,所有的HTTP数据都是在SSL/TLS协议封装之上进行传输的.HTTPS协议是在HTTP协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议.Https使用的默认端口是443.更多HTTPS原理可以参考阮一峰老师的文章:http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html SSL证书 证书类

  • Apache使用 .htaccess 来实现强制https访问的方法

    我们可以用Apache的.htaccess的重定向规则来实现http强制跳转到https访问网站.( 重要提示:必须将代码放到.htaccess文件内容的最前面,以保证重定向优先权.) 代码如下: RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://xpsss.com/$1 [R,L] 或者 RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteR

随机推荐