堆栈内存溢出
  繁体   English   中英

如何从Java中的剩余请求中检索客户端证书

[英]How to retrieve client certificate from rest request in Java

 原文  2019-02-27 14:03:27       java/ http/ jersey/ ssl-certificate/ jetty

问题描述

我正在将Jersey用于JavaJetty REST服务器用作Web服务器。 我有self signed证书。 我想从收到的HTTP请求中获取客户端证书详细信息。 如何从HttpServletRequest获取信息?

一种方法: 

X509Certificate certs[] = (X509Certificate[])httpRequest.getAttribute("javax.servlet.request.X509Certificate");

这是正确的吗? 这导致异常, 

Error [Ljava.lang.Object; cannot be cast to [Ljava.security.cert.X509Certificate

我应该添加其他JAR吗? 还是有什么方法可以获取客户证书的详细信息?

我也遇到过 

httpRequest.getHeader("ssl_client_cert");

两种方式似乎都不适合我。 如何获取详细信息?

1 个解决方案

解决方案1
 1 已采纳  2019-03-01 16:08:06

首先,确保您的ServerConnector处理SSL / TLS。 接下来,该ServerConnector应该具有一个SslConnectionFactory,其中带有配置的HttpConfiguration对象。 该HttpConfiguration对象应该添加了SecureRequestCustomizer。

用嵌入式码头的话来说,这看起来像是... 

        // SSL Context Factory
        SslContextFactory sslContextFactory = new SslContextFactory();
        sslContextFactory.setKeyStorePath("/path/to/keystore");
        sslContextFactory.setKeyStorePassword("password");
        sslContextFactory.setKeyManagerPassword("secret");
        sslContextFactory.setTrustStorePath("/path/to/keystore");
        sslContextFactory.setTrustStorePassword("password");


        // SSL HTTP Configuration
        HttpConfiguration https_config = new HttpConfiguration(http_config);
        https_config.addCustomizer(new SecureRequestCustomizer()); // <-- THIS LINE

        // SSL Connector
        ServerConnector sslConnector = new ServerConnector(server,
            new SslConnectionFactory(sslContextFactory,HttpVersion.HTTP_1_1.asString()),
            new HttpConnectionFactory(https_config));
        sslConnector.setPort(8443);
        server.addConnector(sslConnector);

如果您在独立的Jetty上使用${jetty.home}${jetty.base}拆分,则需要检查配置中是否存在jetty-ssl.xml ... 

$ cd /path/to/my-jetty-base
$ java -jar /path/to/jetty-home/start.jar --list-config

Java Environment:
-----------------
 java.home = /Library/Java/JavaVirtualMachines/jdk1.8.0_202.jdk/Contents/Home/jre (null)
 java.vm.vendor = Oracle Corporation (null)
 java.vm.version = 25.202-b08 (null)
 java.vm.name = Java HotSpot(TM) 64-Bit Server VM (null)
 java.vm.info = mixed mode (null)
 java.runtime.name = Java(TM) SE Runtime Environment (null)
 java.runtime.version = 1.8.0_202-b08 (null)
 java.io.tmpdir = /var/folders/w5/mmnzpk0n369dntp4nszlc8h40000gn/T/ (null)
 user.dir = /path/to/my-jetty-base (null)
 user.language = en (null)
 user.country = US (null)

Jetty Environment:
-----------------
 jetty.version = 9.4.15.v20190215
 jetty.tag.version = master
 jetty.home = /path/to/jetty-home
 jetty.base = /path/to/my-jetty-base

...(snip lots of output)...

Jetty Active XMLs:
------------------
 ${jetty.home}/etc/jetty-threadpool.xml
 ${jetty.home}/etc/jetty.xml
 ${jetty.home}/etc/jetty-webapp.xml
 ${jetty.home}/etc/jetty-plus.xml
 ${jetty.home}/etc/jetty-annotations.xml
 ${jetty.home}/etc/jetty-deploy.xml
 ${jetty.home}/etc/jetty-http.xml
 ${jetty.home}/etc/jetty-ssl.xml      <-- THIS LINE
 ${jetty.home}/etc/jetty-ssl-context.xml
 ${jetty.home}/etc/jetty-https.xml
 ${jetty.home}/etc/jetty-jaas.xml
 ${jetty.home}/etc/jetty-rewrite.xml
 ${jetty.base}/etc/demo-rewrite-rules.xml
 ${jetty.base}/etc/test-realm.xml

验证了此基本级别的配置后,即使使用这些属性,也可以使用。

接下来,当您向该安全连接器发出请求时,各种过滤器和Servlet将有权访问许多对您可能有用的请求属性。

这些是Servlet规范定义的属性, SecureRequestCustomizer将这些属性添加到传入的HttpServletRequest中。

  • javax.servlet.request.X509Certificate包含一个java.security.cert.X509Certificate对象数组。
  • javax.servlet.request.cipher_suite将您协商的密码套件保存为String对象。
  • javax.servlet.request.key_size将您的密钥大小保留为Integer对象。
  • javax.servlet.request.ssl_session_id将您的SSL会话ID保留为String对象。

这些是SecureRequestCustomizer添加到传入的HttpServletRequests中的Jetty定制属性。

  • org.eclipse.jetty.servlet.request.ssl_session拥有此连接的活动java.net.ssl.SSLSession对象。

由于尝试使用该属性时看到的是通用Object[] ,因此也许您应该调试并查看这些对象的实际含义。

考虑一下Jetty无法控制的某些内容可能已替换了它们,或者使它们在Servlet规范表单中对于Jetty不可用,然后再尝试访问它们。

  • 过去,已知一些第三方安全性库会更改这些属性。
  • 或者,您不是要在Jetty终止TLS / SSL连接,例如在防火墙/路由器/负载平衡器(haproxy,nginx,apache httpd或各种硬件)处终止(这意味着Jetty无法看到证书)。
  • 您没有使用普通的ServerConnector(例如UnixSocketConnector,LocalConnector或自定义连接器)
  • 或者,您在Java实现中具有第三方安全层。 
Object certs[] = httpRequest.getAttribute("javax.servlet.request.X509Certificate");
for(Object cert: certs) {
  System.out.printf("DEBUG: Cert[%s] = %s%n", cert.getClass().getName(), cert);
}

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 如何使用 Quarkus 以两种方式 SSL 从 REST 服务中的请求中检索客户端证书 从Rest Client请求通过服务到Web应用程序检索JSON JAVA 如何进行 PUT 请求 REST 客户端 如何从Java REST服务中的POST请求有效负载中检索值? 从Java客户端应用程序的请求中检索从CookieStore中设置的cookie Java SSLServerSocket:请求客户端证书允许任何客户端证书 如何使用 rest java 将 JSON 请求检索到方法中? 如何使用Java Rest客户端在POST负载中传递参数“ request”? 如何使用证书发出REST Get请求? 我们是否真的需要Rest Java客户端,或者我们可以直接从HTML页面触发REST请求?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM