摘要:程序在訪問資源時,出現(xiàn)報錯這本質(zhì)上���,是在訪問資源時的證書信任問題�。因此,如果用訪問資源�,發(fā)現(xiàn)證書不可信任,則會報文章開頭說到的錯誤���。
java程序在訪問https資源時�����,出現(xiàn)報錯
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
這本質(zhì)上�����,是java在訪問https資源時的證書信任問題��。
如何解決這個問題呢�?
解決這個問題前����,要了解
1)https通信過程
客戶端在使用HTTPS方式與Web服務(wù)器通信時有以下幾個步驟,如圖所示���。
(1)客戶使用https的URL訪問Web服務(wù)器����,要求與Web服務(wù)器建立SSL連接。
(2)Web服務(wù)器收到客戶端請求后���,會將網(wǎng)站的證書信息(證書中包含公鑰)傳送一份給客戶端�����。
(3)客戶端的瀏覽器與Web服務(wù)器開始協(xié)商SSL連接的安全等級�����,也就是信息加密的等級�����。
(4)客戶端的瀏覽器根據(jù)雙方同意的安全等級��,建立會話密鑰����,然后利用網(wǎng)站的公鑰將會話密鑰加密�,并傳送給網(wǎng)站��。
(5)Web服務(wù)器利用自己的私鑰解密出會話密鑰����。
(6)Web服務(wù)器利用會話密鑰加密與客戶端之間的通信�。
2)java程序的證書信任規(guī)則
如上文所述����,客戶端會從服務(wù)端拿到證書信息。調(diào)用端(客戶端)會有一個證書信任列表����,拿到證書信息后,會判斷該證書是否可信任�。
如果是用瀏覽器訪問https資源,發(fā)現(xiàn)證書不可信任����,一般會彈框告訴用戶,對方的證書不可信任����,是否繼續(xù)之類。
Java虛擬機并不直接使用操作系統(tǒng)的keyring��,而是有自己的security manager�。與操作系統(tǒng)類似,jdk的security manager默認(rèn)有一堆的根證書信任�����。如果你的https站點證書是花錢申請的,被這些根證書所信任�����,那使用java來訪問此https站點會非常方便�����。因此����,如果用java訪問https資源,發(fā)現(xiàn)證書不可信任�,則會報文章開頭說到的錯誤。
解決問題的方法
1)將證書導(dǎo)入到j(luò)dk的信任證書中(理論上應(yīng)該可行���,未驗證)
2)在客戶端(調(diào)用端)添加邏輯��,忽略證書信任問題
第一種方法�����,需要在每臺運行該java程序的機器上�,都做導(dǎo)入操作�,不方便部署,因此���,采用第二種方法�����。下面貼下該方法對應(yīng)的代碼��。
驗證可行的代碼
1)先實現(xiàn)驗證方法
HostnameVerifier hv = new HostnameVerifier() {
public boolean verify(String urlHostName, SSLSession session) {
System.out.println("Warning: URL Host: " + urlHostName + " vs. "
+ session.getPeerHost());
return true;
}
};
private static void trustAllHttpsCertificates() throws Exception {
javax.net.ssl.TrustManager[] trustAllCerts = new javax.net.ssl.TrustManager[1];
javax.net.ssl.TrustManager tm = new miTM();
trustAllCerts[0] = tm;
javax.net.ssl.SSLContext sc = javax.net.ssl.SSLContext
.getInstance("SSL");
sc.init(null, trustAllCerts, null);
javax.net.ssl.HttpsURLConnection.setDefaultSSLSocketFactory(sc
.getSocketFactory());
}
static class miTM implements javax.net.ssl.TrustManager,
javax.net.ssl.X509TrustManager {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return null;
}
public boolean isServerTrusted(
java.security.cert.X509Certificate[] certs) {
return true;
}
public boolean isClientTrusted(
java.security.cert.X509Certificate[] certs) {
return true;
}
public void checkServerTrusted(
java.security.cert.X509Certificate[] certs, String authType)
throws java.security.cert.CertificateException {
return;
}
public void checkClientTrusted(
java.security.cert.X509Certificate[] certs, String authType)
throws java.security.cert.CertificateException {
return;
}
}
2)在訪問https資源前�����,調(diào)用
trustAllHttpsCertificates();
HttpsURLConnection.setDefaultHostnameVerifier(hv);
以下是一個具體的例子:
import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.net.HttpURLConnection;
import java.net.URL;
import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLSession;
import org.apache.log4j.Logger;
import org.htmlparser.util.ParserException;
import com.xwtech.parser.GetRequestHtmlParser;
import com.xwtech.pojo.ExtendCandidate;
/*
* GET請求類
*/
public class GetRequest {
private String url = "https://b2b.10086.cn/b2b/main/viewNoticeContent.html?noticeBean.id=";
private Logger logger;
public GetRequest() {
logger = Logger.getLogger(GetRequest.class);
}
private static void trustAllHttpsCertificates() throws Exception {
javax.net.ssl.TrustManager[] trustAllCerts = new javax.net.ssl.TrustManager[1];
javax.net.ssl.TrustManager tm = new miTM();
trustAllCerts[0] = tm;
javax.net.ssl.SSLContext sc = javax.net.ssl.SSLContext.getInstance("SSL");
sc.init(null, trustAllCerts, null);
javax.net.ssl.HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
}
public void getData(String id) {
this.url = url + id;
BufferedReader in = null;
HttpURLConnection conn = null;
String result = "";
try {
//該部分必須在獲取connection前調(diào)用
trustAllHttpsCertificates();
HostnameVerifier hv = new HostnameVerifier() {
public boolean verify(String urlHostName, SSLSession session) {
logger.info("Warning: URL Host: " + urlHostName + " vs. " + session.getPeerHost());
return true;
}
};
HttpsURLConnection.setDefaultHostnameVerifier(hv);
conn = (HttpURLConnection)new URL(url).openConnection();
// 發(fā)送GET請求必須設(shè)置如下兩行
conn.setDoInput(true);
conn.setRequestMethod("GET");
// flush輸出流的緩沖
in = new BufferedReader(new InputStreamReader(conn.getInputStream()));
String line;
while ((line = in.readLine()) != null) {
result += line;
}
} catch (Exception e) {
logger.error("發(fā)送 GET 請求出現(xiàn)異常�! 請求ID:"+id+"
"+e.getMessage()+"
");
} finally {// 使用finally塊來關(guān)閉輸出流�����、輸入流
try {
if (in != null) {
in.close();
}
} catch (IOException ex) {
logger.error("關(guān)閉數(shù)據(jù)流出錯了��!
"+ex.getMessage()+"
");
}
}
// 獲得相應(yīng)結(jié)果result,可以直接處理......
}
static class miTM implements javax.net.ssl.TrustManager, javax.net.ssl.X509TrustManager {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return null;
}
public boolean isServerTrusted(java.security.cert.X509Certificate[] certs) {
return true;
}
public boolean isClientTrusted(java.security.cert.X509Certificate[] certs) {
return true;
}
public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType)
throws java.security.cert.CertificateException {
return;
}
public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType)
throws java.security.cert.CertificateException {
return;
}
}
}
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/73806.html
