套接字工厂——ServerSocketFactory

接收器Acceptor在接收连接的过程中，根据不同的使用场合可能需要不同的安全级别，例如在支付相关的交易就必须对信息加密后再发送，这其中还涉及到密钥协商的过程，而在另外一些普通场合则无需对报文加密。反应到应用层则是使用http与https的问题，具体跟http/https相关的一些知识请到前面相关章节温习。

看一张跟https协议的组成层次图，它在应用层添加了一个TLS\SSL协议，于是组成了https协议。简单讲TLS\SSL协议给每次通信①提供认证服务，认证本次会话实体身份的合法性。②提供加密服务，强加密机制能保证通信过程中的消息不会被破译。③提供防篡改服务，利用Hash算法对消息进行签名，通过验证签名保证通信内容不被篡改。Java为开发者提供了方便的手段实现TLS\SSL协议，这就是安全套接字，它是Socket的安全升级版。Tomcat作为web服务器必须要实现对两种协议的支持，在java语言中，http协议对应Socket，而https则对应SSLScoket，在程序里根据不同的协议产生不同的套接字，于是引入了工厂模式处理套接字的相关操作，这个便是ServerSocketFactory工厂类。再一个由于不同厂商可自己定制SSL的实现，所以在具体程序实现时还有一些关于SSL实现的相关类，这些在前面的“Tomcat中的ssl安全信道的实现”章节有很详细的说明，可移步前往重新查阅。

ServerSocketFactory作为tomcat一个重要的组件，先看看它的运行逻辑是怎样的。首先说明下Tomcat中有两个工厂类DefaultServerSocketFactory和JSSESocketFactory，它们都实现了ServerSocketFactory接口，分别对应http协议套接字通道与https协议套接字通道。根据实际需求，假如机器的某端口使用加密通道则由JSSESocketFactory作为套接字工厂，反之则使用DefaultServerSocketFactory作为套接字工厂，于是tomcat中存在一个变量SSLEnabled用于标识是否使用加密通道，通过对此变量的定义就可以决定使用哪个工厂类，tomcat提供了外部配置文件供开发者和运维人员自定义。

实际上我们通过对server.xml进行配置就可以定义某个端口开放并是否使用安全通道，例如，

①   http协议对应的非安全通道

…

<service>

<Connector executor="tomcatThreadPool"port="8080" protocol="HTTP/1.1" connectionTimeout="20000"redirectPort="8443" />

</service>

…

②    https协议对应的安全通道

…

<service>

<Connector port="8443"protocol="HTTP/1.1" SSLEnabled="true"maxThreads="150" scheme="https" secure="true"clientAuth="false" sslProtocol="TLS" />

</service>

…

第一种配置告诉tomcat开放8080端口并使用http1.1协议进行非安全通信。第二种配置告诉tomcat开放8443端口并使用http1.1协议进行安全通信，其中安全协议是使用TLS协议。需要很注意的是加红加粗字体的SSLEnabled=”true”，此变量值会在tomcat启动初始化时读入自身程序中，运行时也正是通过此变量判断使用哪个套接字工厂，DefaultServerSocketFactory还是JSSESocketFactory。

把ServerSocketFactory工厂组件引入后整个结构图变为如下：

喜欢研究java的同学可以交个朋友，下面是本人的微信号：