feign调用跳过HTTPS的SSL证书校验配置过程_SSL

一、问题抛出

如果不配置跳过ssl证书校验，当feign客户端尝试连接到一个使用自签名证书的服务器时，可能会抛出类似以下的异常：

javax.net.ssl.sslhandshakeexception: sun.security.validator.validatorexception: pkix path building failed: sun.security.provider.certpath.suncertpathbuilderexception: unable to find valid certification path to requested target

二、原因分析

如果不添加跳过ssl证书校验的配置，feign客户端在调用https服务时会严格验证服务器的ssl证书。

这种行为是默认且推荐的做法，因为它可以确保通信的安全性和完整性。

以下是如果不添加该配置的具体影响：

2.1 证书验证

默认行为：feign客户端会使用系统的默认trustmanager来验证服务器的ssl证书。

验证内容：

证书有效性：检查证书是否由受信任的证书颁发机构（ca）签发。
证书过期：确保证书在有效期内。
证书链：验证证书链的完整性。
主机名匹配：确保证书中的主机名与请求的主机名匹配。
目的：验证服务器的身份，确保客户端连接的是正确的服务器。

过程：

客户端请求服务器的证书。
服务器返回证书。
客户端验证证书的有效性，包括证书是否由受信任的ca签发、证书是否过期等。
如果验证通过，客户端和服务器使用证书中的公钥进行密钥交换，建立安全的通信通道。

2.2 影响

安全性增强：确保数据传输的安全性和完整性，防止中间人攻击。

潜在问题：

自签名证书：如果服务器使用自签名证书或内部ca签发的证书，客户端会拒绝连接，除非这些证书被显式信任。
证书过期或无效：如果证书过期或无效，客户端会拒绝连接。
主机名不匹配：如果证书中的主机名与请求的主机名不匹配，客户端会拒绝连接。

三、解决方法-跳过ssl证书校验

风险：跳过ssl证书校验会使得中间人攻击成为可能，攻击者可以拦截并篡改数据。

适用场景：仅在开发和测试环境中使用，生产环境中应严格配置和验证ssl证书。

实现方法：

创建一个自定义的trustmanager，忽略证书校验。
配置自定义的sslsocketfactory和hostnameverifier。

四、代码配置，跳过ssl证书校验

@slf4j
@configuration
public class feignclientconfig {

    @bean
    public logger.level feignloglevel() {
        return logger.level.full;
    }

    @bean
    public cachingspringloadbalancerfactory cachingfactory(springclientfactory clientfactory) {
        return new cachingspringloadbalancerfactory(clientfactory);
    }

    @bean
    @conditionalonmissingbean
    public client feignclient(cachingspringloadbalancerfactory cachingfactory,
                              springclientfactory clientfactory) throws nosuchalgorithmexception, keymanagementexception {
        sslcontext ctx = sslcontext.getinstance("ssl");
        x509trustmanager tm = new x509trustmanager() {
            @override
            public void checkclienttrusted(x509certificate[] chain, string authtype) {
            }

            @override
            public void checkservertrusted(x509certificate[] chain, string authtype) {
            }

            @override
            public x509certificate[] getacceptedissuers() {
                return new x509certificate[0];
            }
        };
        ctx.init(null, new trustmanager[]{tm}, null);
        return new loadbalancerfeignclient(new client.default(ctx.getsocketfactory(),
                httpsurlconnection.getdefaulthostnameverifier()),
                cachingfactory, clientfactory);
    }
}