L'accès Https Reste de Service à l'aide de Printemps RestTemplate

Quelqu'un peut-il me fournir un exemple de code pour l'accès reste de l'url du service sécurisé par https à l'aide de printemps reste modèle.

J'ai le certificat, le nom d'utilisateur et mot de passe. L'Authentification de base est utilisée sur le serveur et que je veux créer un client peut se connecter à ce serveur à l'aide de certificat fourni, le nom d'utilisateur et le mot de passe (si nécessaire).

InformationsquelleAutor zdesam | 2013-07-12

KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(new FileInputStream(new File(keyStoreFile)),
  keyStorePassword.toCharArray());

SSLConnectionSocketFactory socketFactory = new SSLConnectionSocketFactory(
  new SSLContextBuilder()
    .loadTrustMaterial(null, new TrustSelfSignedStrategy())
    .loadKeyMaterial(keyStore, keyStorePassword.toCharArray())
    .build(),
    NoopHostnameVerifier.INSTANCE);

HttpClient httpClient = HttpClients.custom().setSSLSocketFactory(
  socketFactory).build();

ClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory(
  httpClient);
RestTemplate restTemplate = new RestTemplate(requestFactory);
MyRecord record = restTemplate.getForObject(uri, MyRecord.class);
LOG.debug(record.toString());

.loadKeyMaterial peut être inutile à point
simple et solution..
N'importe comprendre comment faire la même chose dans le ressort 5
Avez-vous les moyens de réaliser cet objectif dans le ressort 5 ?
C'est complètement sécurisés. Pas de vérification du certificat du serveur (TrustSelfSignedStrategy), pas de nom d'hôte de la vérification (NoopHostnameVerifier). Le matériel de clé fournie est, pour le client, l'authentification par certificat, mais la question dit que c'est à l'aide de l'authentification HTTP de Base. Dans ce contexte, quelle est chargé à partir du fichier de clés n'est pas destiné à être utilisé à tous.

InformationsquelleAutor Headroller

Voici un code qui vous donnera une idée générale.

Vous avez besoin pour créer un personnalisé ClientHttpRequestFactory pour approuver le certificat.
Il ressemble à ceci:

final ClientHttpRequestFactory clientHttpRequestFactory =
        new MyCustomClientHttpRequestFactory(org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER, serverInfo);
    restTemplate.setRequestFactory(clientHttpRequestFactory);

C'est la mise en œuvre de MyCustomClientHttpRequestFactory:

public class MyCustomClientHttpRequestFactory  extends SimpleClientHttpRequestFactory {

private final HostnameVerifier hostNameVerifier;
private final ServerInfo serverInfo;

public MyCustomClientHttpRequestFactory (final HostnameVerifier hostNameVerifier,
    final ServerInfo serverInfo) {
    this.hostNameVerifier = hostNameVerifier;
    this.serverInfo = serverInfo;
}

@Override
protected void prepareConnection(final HttpURLConnection connection, final String httpMethod)
    throws IOException {
    if (connection instanceof HttpsURLConnection) {
        ((HttpsURLConnection) connection).setHostnameVerifier(hostNameVerifier);
        ((HttpsURLConnection) connection).setSSLSocketFactory(initSSLContext()
            .getSocketFactory());
    }
    super.prepareConnection(connection, httpMethod);
}

private SSLContext initSSLContext() {
    try {
        System.setProperty("https.protocols", "TLSv1");

        //Set ssl trust manager. Verify against our server thumbprint
        final SSLContext ctx = SSLContext.getInstance("TLSv1");
        final SslThumbprintVerifier verifier = new SslThumbprintVerifier(serverInfo);
        final ThumbprintTrustManager thumbPrintTrustManager =
            new ThumbprintTrustManager(null, verifier);
        ctx.init(null, new TrustManager[] { thumbPrintTrustManager }, null);
        return ctx;
    } catch (final Exception ex) {
        LOGGER.error(
            "An exception was thrown while trying to initialize HTTP security manager.", ex);
        return null;
    }
}

Dans ce cas, mon serverInfo objet contient l'empreinte du serveur.
Vous avez besoin de mettre en œuvre la TrustManager interface pour obtenir
le SslThumbprintVerifier ou de toute autre méthode que vous voulez vérifier votre certificat (vous pouvez aussi décider de également toujours le retour true).

La valeur org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER permet à tous les noms d'hôte.
Si vous avez besoin de vérifier le nom de l'hôte,
vous aurez besoin de mettre en œuvre différemment.

Je ne suis pas sûr de l'utilisateur et le mot de passe et comment vous les mettre en place.
Souvent,
vous avez besoin d'ajouter un en-tête de la restTemplate nommé Authorization
avec une valeur qui ressemble à ceci: Base: <encoded user+password>.
Le user+password doit être Base64 codé.

Une grande partie de mon code a été prise à partir d'ici: stackoverflow.com/questions/15544116/...
Semble assez propre, sauf pour le "Système.setProperty("https.les protocoles", "TLSv1");" la ligne. Est-il possible sans la définition de certains au niveau du système de choses? Je vais avoir un problème similaire et souhaitez isoler le certificat de problème lié à un seul haricot.
Wow, vous m'avez pris de retour avec cette réponse. Malheureusement, il a été trop longtemps et j'ai déjà changé deux lieux de travail depuis donc je n'ai pas le code source et je ne me souviens pas pourquoi j'ai fait les choses de la façon dont je l'ai fait. Je suis assez sûr qu'il y avait un moyen de contourner cela, je vais essayer de voir si je peux trouver un autre moyen et si oui, je vais le poster ici.
J'ai trouvé la solution déjà. Permettez-moi de poster une autre réponse, parce qu'il n'est pas trivial. Merci, de toute façon.

InformationsquelleAutor Avi

C'est une solution avec pas obsolète classe ou de la méthode :
(Java 8 approuvé)

CloseableHttpClient httpClient = HttpClients.custom().setSSLHostnameVerifier(new NoopHostnameVerifier()).build();

HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory();
requestFactory.setHttpClient(httpClient);

RestTemplate restTemplate = new RestTemplate(requestFactory);

Parfaitement de travail 🙂
espérons que cela fonctionne pour java 7 trop
À l'aide de NoopHostnameVerifier est un risque pour la sécurité.

InformationsquelleAutor MaximeF

Voici ce que je me suis retrouvé avec le même problème. L'idée est la même que dans @Avi réponse, mais je voulais aussi éviter de la statique "du Système.setProperty("https.les protocoles", "TLSv1");", de sorte que les ajustements n'affectent pas le système. Inspiré par une réponse d'ici http://www.coderanch.com/t/637177/Security/Disabling-handshake-message-Java

public class MyCustomClientHttpRequestFactory extends SimpleClientHttpRequestFactory {
@Override
protected void prepareConnection(HttpURLConnection connection, String httpMethod) {
try {
if (!(connection instanceof HttpsURLConnection)) {
throw new RuntimeException("An instance of HttpsURLConnection is expected");
}
HttpsURLConnection httpsConnection = (HttpsURLConnection) connection;
TrustManager[] trustAllCerts = new TrustManager[]{
new X509TrustManager() {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return null;
}
public void checkClientTrusted(X509Certificate[] certs, String authType) {
}
public void checkServerTrusted(X509Certificate[] certs, String authType) {
}
}
};
SSLContext sslContext = SSLContext.getInstance("SSL");
sslContext.init(null, trustAllCerts, new java.security.SecureRandom());
httpsConnection.setSSLSocketFactory(new MyCustomSSLSocketFactory(sslContext.getSocketFactory()));
httpsConnection.setHostnameVerifier((hostname, session) -> true);
super.prepareConnection(httpsConnection, httpMethod);
} catch (Exception e) {
throw Throwables.propagate(e);
}
}
/**
* We need to invoke sslSocket.setEnabledProtocols(new String[] {"SSLv3"});
* see http://www.oracle.com/technetwork/java/javase/documentation/cve-2014-3566-2342133.html (Java 8 section)
*/
private static class MyCustomSSLSocketFactory extends SSLSocketFactory {
private final SSLSocketFactory delegate;
public MyCustomSSLSocketFactory(SSLSocketFactory delegate) {
this.delegate = delegate;
}
@Override
public String[] getDefaultCipherSuites() {
return delegate.getDefaultCipherSuites();
}
@Override
public String[] getSupportedCipherSuites() {
return delegate.getSupportedCipherSuites();
}
@Override
public Socket createSocket(final Socket socket, final String host, final int port, final boolean autoClose) throws IOException {
final Socket underlyingSocket = delegate.createSocket(socket, host, port, autoClose);
return overrideProtocol(underlyingSocket);
}
@Override
public Socket createSocket(final String host, final int port) throws IOException {
final Socket underlyingSocket = delegate.createSocket(host, port);
return overrideProtocol(underlyingSocket);
}
@Override
public Socket createSocket(final String host, final int port, final InetAddress localAddress, final int localPort) throws IOException {
final Socket underlyingSocket = delegate.createSocket(host, port, localAddress, localPort);
return overrideProtocol(underlyingSocket);
}
@Override
public Socket createSocket(final InetAddress host, final int port) throws IOException {
final Socket underlyingSocket = delegate.createSocket(host, port);
return overrideProtocol(underlyingSocket);
}
@Override
public Socket createSocket(final InetAddress host, final int port, final InetAddress localAddress, final int localPort) throws IOException {
final Socket underlyingSocket = delegate.createSocket(host, port, localAddress, localPort);
return overrideProtocol(underlyingSocket);
}
private Socket overrideProtocol(final Socket socket) {
if (!(socket instanceof SSLSocket)) {
throw new RuntimeException("An instance of SSLSocket is expected");
}
((SSLSocket) socket).setEnabledProtocols(new String[] {"SSLv3"});
return socket;
}
}
}

L'insécurité, car il n'y a pas de vérification du certificat et pas de nom d'hôte de vérification.

InformationsquelleAutor Ruslan

Un point de moi. J'ai utilisé une mutuelle cert authentification avec spring-boot microservices. Ce qui suit est de travailler pour moi, les points clés sont ici
keyManagerFactory.init(...) et sslcontext.init(keyManagerFactory.getKeyManagers(), null, new SecureRandom()) lignes de code sans eux, au moins pour moi, les choses ne fonctionnent pas. Les certificats sont emballés par PKCS12.

@Value("${server.ssl.key-store-password}")
private String keyStorePassword;
@Value("${server.ssl.key-store-type}")
private String keyStoreType;
@Value("${server.ssl.key-store}")
private Resource resource;
private RestTemplate getRestTemplate() throws Exception {
return new RestTemplate(clientHttpRequestFactory());
}
private ClientHttpRequestFactory clientHttpRequestFactory() throws Exception {
return new HttpComponentsClientHttpRequestFactory(httpClient());
}
private HttpClient httpClient() throws Exception {
KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
KeyStore trustStore = KeyStore.getInstance(keyStoreType);
if (resource.exists()) {
InputStream inputStream = resource.getInputStream();
try {
if (inputStream != null) {
trustStore.load(inputStream, keyStorePassword.toCharArray());
keyManagerFactory.init(trustStore, keyStorePassword.toCharArray());
}
} finally {
if (inputStream != null) {
inputStream.close();
}
}
} else {
throw new RuntimeException("Cannot find resource: " + resource.getFilename());
}
SSLContext sslcontext = SSLContexts.custom().loadTrustMaterial(trustStore, new TrustSelfSignedStrategy()).build();
sslcontext.init(keyManagerFactory.getKeyManagers(), null, new SecureRandom());
SSLConnectionSocketFactory sslConnectionSocketFactory =
new SSLConnectionSocketFactory(sslcontext, new String[]{"TLSv1.2"}, null, getDefaultHostnameVerifier());
return HttpClients.custom().setSSLSocketFactory(sslConnectionSocketFactory).build();
}

Il serait plus clair si vous avez renommé trustStore en keyStore, depuis que vous utilisez pour le gestionnaire de clés, pas de la confiance du gestionnaire.

InformationsquelleAutor toootooo

Vous devez vous connecter pour publier un commentaire.