HttpClient с SSL
1. обзор
Эта статья покажет, какconfigure the Apache HttpClient 4 with “Accept All” SSL support. Цель проста - использовать URL-адреса HTTPS, которые не имеют действительных сертификатов.
Если вы хотите копнуть глубже и узнать о других интересных вещах, которые можно сделать с помощью HttpClient, перейдите кthe main HttpClient guide.
Дальнейшее чтение:
Управление соединениями HttpClient
Как открывать, управлять и закрывать соединения с Apache HttpClient 4.
Расширенная настройка HttpClient
Конфигурации HttpClient для расширенных вариантов использования.
HttpClient 4 - Отправить Custom Cookie
Как отправлять пользовательские файлы cookie с помощью Apache HttpClient 4.
2. SSLPeerUnverifiedException
Без настройки SSL сHttpClient следующий тест, использующий URL-адрес HTTPS, завершится ошибкой:
public class RestClientLiveManualTest {
@Test(expected = SSLPeerUnverifiedException.class)
public void whenHttpsUrlIsConsumed_thenException()
throws ClientProtocolException, IOException {
CloseableHttpClient httpClient = HttpClients.createDefault();
String urlOverHttps
= "https://localhost:8082/httpclient-simple";
HttpGet getMethod = new HttpGet(urlOverHttps);
HttpResponse response = httpClient.execute(getMethod);
assertThat(response.getStatusLine().getStatusCode(), equalTo(200));
}
}
Точный сбой:
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
at sun.security.ssl.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:397)
at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:126)
...
javax.net.ssl.SSLPeerUnverifiedException exception появляется всякий раз, когда не удается установить действительную цепочку доверия для URL.
3. Настроить SSL - принять все (HttpClient <4.3)
Теперь давайте настроим HTTP-клиент, чтобы он доверял всем цепочкам сертификатов независимо от их действительности:
@Test
public final void givenAcceptingAllCertificates_whenHttpsUrlIsConsumed_thenOk()
throws GeneralSecurityException {
HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory();
CloseableHttpClient httpClient = (CloseableHttpClient) requestFactory.getHttpClient();
TrustStrategy acceptingTrustStrategy = (cert, authType) -> true;
SSLSocketFactory sf = new SSLSocketFactory(acceptingTrustStrategy, ALLOW_ALL_HOSTNAME_VERIFIER);
httpClient.getConnectionManager().getSchemeRegistry().register(new Scheme("https", 8443, sf));
ResponseEntity response = new RestTemplate(requestFactory).
exchange(urlOverHttps, HttpMethod.GET, null, String.class);
assertThat(response.getStatusCode().value(), equalTo(200));
}
С новымTrustStrategy теперьoverriding the standard certificate verification process (который должен проконсультироваться с настроенным диспетчером доверия) - теперь тест проходит иthe client is able to consume the HTTPS URL.
4. Настроить SSL - принять все (HttpClient 4.4 и выше)
С новым HTTPClient теперь у нас есть улучшенный переработанный верификатор имени хоста SSL по умолчанию. Кроме того, с введениемSSLConnectionSocketFactory иRegistryBuilder легко создать SSLSocketFactory. Таким образом, мы можем написать приведенный выше тестовый пример:
@Test
public final void givenAcceptingAllCertificates_whenHttpsUrlIsConsumed_thenOk()
throws GeneralSecurityException {
TrustStrategy acceptingTrustStrategy = (cert, authType) -> true;
SSLContext sslContext = SSLContexts.custom().loadTrustMaterial(null, acceptingTrustStrategy).build();
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext,
NoopHostnameVerifier.INSTANCE);
Registry socketFactoryRegistry =
RegistryBuilder. create()
.register("https", sslsf)
.register("http", new PlainConnectionSocketFactory())
.build();
BasicHttpClientConnectionManager connectionManager =
new BasicHttpClientConnectionManager(socketFactoryRegistry);
CloseableHttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslsf)
.setConnectionManager(connectionManager).build();
HttpComponentsClientHttpRequestFactory requestFactory =
new HttpComponentsClientHttpRequestFactory(httpClient);
ResponseEntity response = new RestTemplate(requestFactory)
.exchange(urlOverHttps, HttpMethod.GET, null, String.class);
assertThat(response.getStatusCode().value(), equalTo(200));
}
5. SpringRestTemplate с SSL (HttpClient <4.3)
Теперь, когда мы увидели, как настроить необработанныйHttpClient с поддержкой SSL, давайте взглянем на клиента более высокого уровня - SpringRestTemplate.
Если SSL не настроен, следующий тест не проходит должным образом:
@Test(expected = ResourceAccessException.class)
public void whenHttpsUrlIsConsumed_thenException() {
String urlOverHttps
= "https://localhost:8443/httpclient-simple/api/bars/1";
ResponseEntity response
= new RestTemplate().exchange(urlOverHttps, HttpMethod.GET, null, String.class);
assertThat(response.getStatusCode().value(), equalTo(200));
}
Итак, давайте настроим SSL:
@Test
public void givenAcceptingAllCertificates_whenHttpsUrlIsConsumed_thenException()
throws GeneralSecurityException {
HttpComponentsClientHttpRequestFactory requestFactory
= new HttpComponentsClientHttpRequestFactory();
DefaultHttpClient httpClient
= (DefaultHttpClient) requestFactory.getHttpClient();
TrustStrategy acceptingTrustStrategy = (cert, authType) -> true
SSLSocketFactory sf = new SSLSocketFactory(
acceptingTrustStrategy, ALLOW_ALL_HOSTNAME_VERIFIER);
httpClient.getConnectionManager().getSchemeRegistry()
.register(new Scheme("https", 8443, sf));
String urlOverHttps
= "https://localhost:8443/httpclient-simple/api/bars/1";
ResponseEntity response = new RestTemplate(requestFactory).
exchange(urlOverHttps, HttpMethod.GET, null, String.class);
assertThat(response.getStatusCode().value(), equalTo(200));
}
Как видите, этоvery similar to the way we configured SSL for the raw HttpClient - мы настраиваем фабрику запросов с поддержкой SSL, а затем создаем экземпляр шаблона, передавая эту предварительно настроенную фабрику.
6. SpringRestTemplate с SSL (HttpClient 4.4)
И мы можем использовать тот же способ для настройки нашегоRestTemplate:
@Test
public void givenAcceptingAllCertificatesUsing4_4_whenUsingRestTemplate_thenCorrect()
throws ClientProtocolException, IOException {
CloseableHttpClient httpClient
= HttpClients.custom()
.setSSLHostnameVerifier(new NoopHostnameVerifier())
.build();
HttpComponentsClientHttpRequestFactory requestFactory
= new HttpComponentsClientHttpRequestFactory();
requestFactory.setHttpClient(httpClient);
ResponseEntity response
= new RestTemplate(requestFactory).exchange(
urlOverHttps, HttpMethod.GET, null, String.class);
assertThat(response.getStatusCode().value(), equalTo(200));
}
7. Заключение
В этом руководстве обсуждалось, как настроить SSL для Apache HttpClient, чтобы он мог использовать любой HTTPS-URL независимо от сертификата. Также показана такая же конфигурация для SpringRestTemplate.
Однако важно понимать, чтоthis strategy entirely ignores certificate checking - что делает его небезопасным и может использоваться только там, где это имеет смысл.
Реализацию этих примеров можно найти вthe GitHub project - это проект на основе Eclipse, поэтому его должно быть легко импортировать и запускать как есть.