Перейти к основному содержимому

Apache HttpClient с SSL

· 4 мин. чтения

Задача: Медиана двух отсортированных массивов

Даны два отсортированных массива размерами n и m. Найдите медиану слияния этих двух массивов.
Временная сложность решения должна быть O(log(m + n)) ...

ANDROMEDA

1. Обзор

В этой статье показано, как настроить Apache HttpClient 4 с поддержкой SSL «Принять все» . Цель проста — использовать URL-адреса HTTPS, которые не имеют действительных сертификатов.

Если вы хотите копнуть глубже и узнать о других интересных вещах, которые вы можете делать с помощью HttpClient, — перейдите к основному руководству по HttpClient .

2. Исключение SSLPeerUnverifiedException

Без настройки SSL с помощью HttpClient следующий тест — использование URL-адреса HTTPS — завершится ошибкой:

public class RestClientLiveManualTest {

    @Test(expected = SSLPeerUnverifiedException.class)
    public void whenHttpsUrlIsConsumed_thenException() 
      throws ClientProtocolException, IOException {
 
        CloseableHttpClient httpClient = HttpClients.createDefault();
        String urlOverHttps
          = "https://localhost:8082/httpclient-simple";
        HttpGet getMethod = new HttpGet(urlOverHttps);
        
        HttpResponse response = httpClient.execute(getMethod);
        assertThat(response.getStatusLine().getStatusCode(), equalTo(200));
    }
}

Точная неисправность:

javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
    at sun.security.ssl.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:397)
    at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:126)
    ...

Исключение javax.net.ssl.SSLPeerUnverifiedException возникает всякий раз, когда для URL-адреса не может быть установлена действующая цепочка доверия.

3. Настройте SSL — Принять все (HttpClient < 4.3)

Давайте теперь настроим HTTP-клиент так, чтобы он доверял всем цепочкам сертификатов независимо от их действительности:

@Test
public final void givenAcceptingAllCertificates_whenHttpsUrlIsConsumed_thenOk() 
  throws GeneralSecurityException {
    HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory();
    CloseableHttpClient httpClient = (CloseableHttpClient) requestFactory.getHttpClient();

    TrustStrategy acceptingTrustStrategy = (cert, authType) -> true;
    SSLSocketFactory sf = new SSLSocketFactory(acceptingTrustStrategy, ALLOW_ALL_HOSTNAME_VERIFIER);
    httpClient.getConnectionManager().getSchemeRegistry().register(new Scheme("https", 8443, sf));

    ResponseEntity<String> response = new RestTemplate(requestFactory).
      exchange(urlOverHttps, HttpMethod.GET, null, String.class);
    assertThat(response.getStatusCode().value(), equalTo(200));
}

Теперь , когда новая TrustStrategy переопределяет стандартный процесс проверки сертификата (который должен консультироваться с настроенным диспетчером доверия), тест теперь проходит, и клиент может использовать URL-адрес HTTPS .

4. Настройте SSL — Принять все (HttpClient 4.4 и выше)

С новым HTTPClient теперь у нас есть улучшенный, переработанный верификатор имени хоста SSL по умолчанию. Кроме того, с введением SSLConnectionSocketFactory и RegistryBuilder легко создать SSLSocketFactory. Таким образом, мы можем написать приведенный выше тестовый пример следующим образом:

@Test
public final void givenAcceptingAllCertificates_whenHttpsUrlIsConsumed_thenOk()
  throws GeneralSecurityException {
    TrustStrategy acceptingTrustStrategy = (cert, authType) -> true;
    SSLContext sslContext = SSLContexts.custom().loadTrustMaterial(null, acceptingTrustStrategy).build();
    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext, 
      NoopHostnameVerifier.INSTANCE);
    
    Registry<ConnectionSocketFactory> socketFactoryRegistry = 
      RegistryBuilder.<ConnectionSocketFactory> create()
      .register("https", sslsf)
      .register("http", new PlainConnectionSocketFactory())
      .build();

    BasicHttpClientConnectionManager connectionManager = 
      new BasicHttpClientConnectionManager(socketFactoryRegistry);
    CloseableHttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslsf)
      .setConnectionManager(connectionManager).build();

    HttpComponentsClientHttpRequestFactory requestFactory = 
      new HttpComponentsClientHttpRequestFactory(httpClient);
    ResponseEntity<String> response = new RestTemplate(requestFactory)
      .exchange(urlOverHttps, HttpMethod.GET, null, String.class);
    assertThat(response.getStatusCode().value(), equalTo(200));
}

5. Spring RestTemplate с SSL (HttpClient < 4.3)

Теперь, когда мы увидели, как настроить необработанный HttpClient с поддержкой SSL, давайте взглянем на клиент более высокого уровня — Spring RestTemplate .

Без настроенного SSL следующий тест завершается неудачей, как и ожидалось:

@Test(expected = ResourceAccessException.class)
public void whenHttpsUrlIsConsumed_thenException() {
    String urlOverHttps 
      = "https://localhost:8443/httpclient-simple/api/bars/1";
    ResponseEntity<String> response 
      = new RestTemplate().exchange(urlOverHttps, HttpMethod.GET, null, String.class);
    assertThat(response.getStatusCode().value(), equalTo(200));
}

Итак, давайте настроим SSL:

@Test
public void givenAcceptingAllCertificates_whenHttpsUrlIsConsumed_thenException() 
  throws GeneralSecurityException {
    HttpComponentsClientHttpRequestFactory requestFactory 
      = new HttpComponentsClientHttpRequestFactory();
    DefaultHttpClient httpClient
      = (DefaultHttpClient) requestFactory.getHttpClient();
    TrustStrategy acceptingTrustStrategy = (cert, authType) -> true
    SSLSocketFactory sf = new SSLSocketFactory(
      acceptingTrustStrategy, ALLOW_ALL_HOSTNAME_VERIFIER);
    httpClient.getConnectionManager().getSchemeRegistry()
      .register(new Scheme("https", 8443, sf));

    String urlOverHttps
      = "https://localhost:8443/httpclient-simple/api/bars/1";
    ResponseEntity<String> response = new RestTemplate(requestFactory).
      exchange(urlOverHttps, HttpMethod.GET, null, String.class);
    assertThat(response.getStatusCode().value(), equalTo(200));
}

Как видите, это очень похоже на то, как мы настроили SSL для необработанного HttpClient — мы настраиваем фабрику запросов с поддержкой SSL, а затем создаем экземпляр шаблона, передавая эту предварительно настроенную фабрику.

6. Spring RestTemplate с SSL (HttpClient 4.4)

И мы можем использовать тот же способ для настройки нашего RestTemplate :

@Test
public void givenAcceptingAllCertificatesUsing4_4_whenUsingRestTemplate_thenCorrect() 
throws ClientProtocolException, IOException {
    CloseableHttpClient httpClient
      = HttpClients.custom()
        .setSSLHostnameVerifier(new NoopHostnameVerifier())
        .build();
    HttpComponentsClientHttpRequestFactory requestFactory 
      = new HttpComponentsClientHttpRequestFactory();
    requestFactory.setHttpClient(httpClient);

    ResponseEntity<String> response 
      = new RestTemplate(requestFactory).exchange(
      urlOverHttps, HttpMethod.GET, null, String.class);
    assertThat(response.getStatusCode().value(), equalTo(200));
}

7. Заключение

В этом руководстве обсуждалось, как настроить SSL для Apache HttpClient, чтобы он мог использовать любой URL-адрес HTTPS независимо от сертификата. Также показана та же конфигурация для Spring RestTemplate .

Однако важно понимать, что эта стратегия полностью игнорирует проверку сертификатов, что делает ее небезопасной и может использоваться только там, где это имеет смысл.

Реализацию этих примеров можно найти в проекте GitHub — это проект на основе Eclipse, поэтому его легко импортировать и запускать как есть.