一、问题抛出
如果不配置跳过ssl证书校验,当feign客户端尝试连接到一个使用自签名证书的服务器时,可能会抛出类似以下的异常:
javax.net.ssl.sslhandshakeexception: sun.security.validator.validatorexception: pkix path building failed: sun.security.provider.certpath.suncertpathbuilderexception: unable to find valid certification path to requested target
二、原因分析
如果不添加跳过ssl证书校验的配置,feign客户端在调用https服务时会严格验证服务器的ssl证书。
这种行为是默认且推荐的做法,因为它可以确保通信的安全性和完整性。
以下是如果不添加该配置的具体影响:
2.1 证书验证
默认行为:feign客户端会使用系统的默认trustmanager来验证服务器的ssl证书。
验证内容:
- 证书有效性:检查证书是否由受信任的证书颁发机构(ca)签发。
- 证书过期:确保证书在有效期内。
- 证书链:验证证书链的完整性。
- 主机名匹配:确保证书中的主机名与请求的主机名匹配。
- 目的:验证服务器的身份,确保客户端连接的是正确的服务器。
过程:
- 客户端请求服务器的证书。
- 服务器返回证书。
- 客户端验证证书的有效性,包括证书是否由受信任的ca签发、证书是否过期等。
- 如果验证通过,客户端和服务器使用证书中的公钥进行密钥交换,建立安全的通信通道。
2.2 影响
安全性增强:确保数据传输的安全性和完整性,防止中间人攻击。
潜在问题:
- 自签名证书:如果服务器使用自签名证书或内部
ca签发的证书,客户端会拒绝连接,除非这些证书被显式信任。 - 证书过期或无效:如果证书过期或无效,客户端会拒绝连接。
- 主机名不匹配:如果证书中的主机名与请求的主机名不匹配,客户端会拒绝连接。
三、解决方法-跳过ssl证书校验
风险:跳过ssl证书校验会使得中间人攻击成为可能,攻击者可以拦截并篡改数据。
适用场景:仅在开发和测试环境中使用,生产环境中应严格配置和验证ssl证书。
实现方法:
- 创建一个自定义的
trustmanager,忽略证书校验。 - 配置自定义的
sslsocketfactory和hostnameverifier。
四、代码配置,跳过ssl证书校验
@slf4j
@configuration
public class feignclientconfig {
@bean
public logger.level feignloglevel() {
return logger.level.full;
}
@bean
public cachingspringloadbalancerfactory cachingfactory(springclientfactory clientfactory) {
return new cachingspringloadbalancerfactory(clientfactory);
}
@bean
@conditionalonmissingbean
public client feignclient(cachingspringloadbalancerfactory cachingfactory,
springclientfactory clientfactory) throws nosuchalgorithmexception, keymanagementexception {
sslcontext ctx = sslcontext.getinstance("ssl");
x509trustmanager tm = new x509trustmanager() {
@override
public void checkclienttrusted(x509certificate[] chain, string authtype) {
}
@override
public void checkservertrusted(x509certificate[] chain, string authtype) {
}
@override
public x509certificate[] getacceptedissuers() {
return new x509certificate[0];
}
};
ctx.init(null, new trustmanager[]{tm}, null);
return new loadbalancerfeignclient(new client.default(ctx.getsocketfactory(),
httpsurlconnection.getdefaulthostnameverifier()),
cachingfactory, clientfactory);
}
}
五、总结
不添加跳过ssl证书校验的配置可以显著提高安全性,但可能会导致连接失败,特别是在使用自签名证书或内部ca证书的情况下。因此,建议在生产环境中正确配置和验证ssl证书,而在开发和测试环境中可以考虑使用跳过ssl证书校验的配置,但应谨慎使用。
以上为个人经验,希望能给大家一个参考,也希望大家多多支持代码网。