使用gRPC作为云平台和移动前端的连接方式,网络安全应该是必须考虑的一个重点。gRPC是支持ssl/tls安全通讯机制的。用了一个周末来研究具体使用方法,实际上是一个周末的挖坑填坑过程。把这次经历记录下来与各位分享。

gRPC的ssl/tls的原理是在服务端安装安全证书公用certificate和私钥key, 在客户端安装公共证书就可以了,gRPC代码是这样写的:

// Server

SslContext sslContext =  SslContextBuilder.forServer(

      new File("/Users/u/Desktop/api.grpc/src/main/resources/my-public-key-cert.pem"),

      new File("/Users/u/Desktop/api.grpc/src/main/resources/my-private-key.pem"))

      .build();

server = NettyServerBuilder.forPort(port).sslContext(sslContext)

      .addService(GreeterGrpc.bindService(new GreeterImpl())).build()

      .start();

/ Client

SslContext sslContext = SslContextBuilder.forClient().trustManager(new File(

                  "/Users/u/Desktop/api.grpc/src/main/resources/my-public-key-cert.pem")).build();

      channel = NettyChannelBuilder.forAddress(host, port)

            .sslContext(sslContext)

            .build();

      blockingStub = GreeterGrpc.newBlockingStub(channel);

先构建SslContextBuilder,然后在构建NettyServerBuilder和NettyChannelBuilder时加入sslContext。上面的my-public-key-cert.pem,my-private_key.pem是用openssl产生的:

openssl req -x509 -newkey rsa:4096 -keyout my-private-key.pem -out my-public-key-cert.pem -days 365 -nodes -subj '/CN=localhost'

不过使用这个证书和私钥测试时出现了错误:

Jan 27, 2019 4:08:22 PM io.grpc.netty.GrpcSslContexts defaultSslProvider

INFO: netty-tcnative unavailable (this may be normal)

java.lang.ClassNotFoundException: io.netty.internal.tcnative.SSL

        at java.net.URLClassLoader.findClass(URLClassLoader.java:381)

        at java.lang.ClassLoader.loadClass(ClassLoader.java:424)

        at sun.misc.Launcher$AppClassLoader.loadClass(Launcher.java:331)

        at java.lang.ClassLoader.loadClass(ClassLoader.java:357)

...

INFO: Jetty ALPN unavailable (this may be normal)

java.lang.ClassNotFoundException: org/eclipse/jetty/alpn/ALPN

        at java.lang.Class.forName0(Native Method)

        at java.lang.Class.forName(Class.java:348)

...

仔细研究了一下github上的gRPC-java说明文件SECURITY.MD,感觉应该是grpc和netty版本问题,特别是下面这几个依赖:

Find the dependency tree (e.g., mvn dependency:tree), and look for versions of:

io.grpc:grpc-netty

io.netty:netty-handler (really, make sure all of io.netty except for netty-tcnative has the same version)

io.netty:netty-tcnative-boringssl-static:jar

...

grpc-netty version	netty-handler version	netty-tcnative-boringssl-static version

1.0.0-1.0.1	4.1.3.Final	1.1.33.Fork19

1.0.2-1.0.3	4.1.6.Final	1.1.33.Fork23

1.1.x-1.3.x	4.1.8.Final	1.1.33.Fork26

1.4.x	4.1.11.Final	2.0.1.Final

1.5.x	4.1.12.Final	2.0.5.Final

1.6.x	4.1.14.Final	2.0.5.Final

1.7.x-1.8.x	4.1.16.Final	2.0.6.Final

1.9.x-1.10.x	4.1.17.Final	2.0.7.Final

1.11.x-1.12.x	4.1.22.Final	2.0.7.Final

1.13.x	4.1.25.Final	2.0.8.Final

1.14.x-1.15.x	4.1.27.Final	2.0.12.Final

1.16.x-1.17.x	4.1.30.Final	2.0.17.Final

1.18.x-1.19.x	4.1.32.Final	2.0.20.Final

1.20.x-1.21x	4.1.34.Final	2.0.22.Final

1.22.x-	4.1.35.Final	2.0.25.Final

解决问题必须先搞清楚这些库的版本。这个可以用sbt插件sbt-dependency-graph。加入project/plugins.sbt:

addSbtPlugin("com.eed3si9n" % "sbt-assembly" % "0.14.9")

addSbtPlugin("net.virtual-void" % "sbt-dependency-graph" % "0.9.2")

addSbtPlugin("com.typesafe.sbt" % "sbt-native-packager" % "1.3.15")

addSbtPlugin("com.thesamet" % "sbt-protoc" % "0.99.21")

addSbtPlugin("net.virtual-void" % "sbt-dependency-graph" % "0.9.2")

libraryDependencies += "com.thesamet.scalapb" %% "compilerplugin" % "0.9.0-M6"

在sbt中执行dependencyTree:

~/scala/intellij/learn-grpc> sbt

[info] Loading settings for project global-plugins from idea.sbt ...

sbt:learn-grpc> dependencyTree

[info]   | | +-com.google.protobuf:protobuf-java:3.7.1

[info]   | | +-io.grpc:grpc-api:1.21.0

[info]   | | +-io.netty:netty-handler:4.1.34.Final

[info]   | | | +-io.netty:netty-buffer:4.1.34.Final

[info]   | | | | +-io.netty:netty-common:4.1.34.Final

...

好像缺失了io.netty:netty-tcnative-boringssl-static:jar,按照对应的gRPC版本在build.sbt里加上:

name := "learn-grpc"

version := "0.1"

scalaVersion := "2.12.8"

scalacOptions += "-Ypartial-unification"

val akkaversion = "2.5.23"

libraryDependencies := Seq(

  "com.typesafe.akka" %% "akka-cluster-metrics" % akkaversion,

  "com.typesafe.akka" %% "akka-cluster-sharding" % akkaversion,

  "com.typesafe.akka" %% "akka-persistence" % akkaversion,

  "com.lightbend.akka" %% "akka-stream-alpakka-cassandra" % "1.0.1",

  "org.mongodb.scala" %% "mongo-scala-driver" % "2.6.0",

  "com.lightbend.akka" %% "akka-stream-alpakka-mongodb" % "1.0.1",

  "com.typesafe.akka" %% "akka-persistence-query" % akkaversion,

  "com.typesafe.akka" %% "akka-persistence-cassandra" % "0.97",

  "com.datastax.cassandra" % "cassandra-driver-core" % "3.6.0",

  "com.datastax.cassandra" % "cassandra-driver-extras" % "3.6.0",

  "ch.qos.logback"  %  "logback-classic"   % "1.2.3",

  "io.monix" %% "monix" % "3.0.0-RC2",

  "org.typelevel" %% "cats-core" % "2.0.0-M1",

  "io.grpc" % "grpc-netty" % scalapb.compiler.Version.grpcJavaVersion,

  "io.netty" % "netty-tcnative-boringssl-static" % "2.0.22.Final",

  "com.thesamet.scalapb" %% "scalapb-runtime" % scalapb.compiler.Version.scalapbVersion % "protobuf",

  "com.thesamet.scalapb" %% "scalapb-runtime-grpc" % scalapb.compiler.Version.scalapbVersion

)

// (optional) If you need scalapb/scalapb.proto or anything from

// google/protobuf/*.proto

//libraryDependencies += "com.thesamet.scalapb" %% "scalapb-runtime" % scalapb.compiler.Version.scalapbVersion % "protobuf"

PB.targets in Compile := Seq(

  scalapb.gen() -> (sourceManaged in Compile).value

)

enablePlugins(JavaAppPackaging)

试了一下启动服务,现在不出错误了(构建sslContext成功了)。不过客户端在使用了证书后仍然无法连接到服务端。没办法,又要再去查资料了。看来现在应该是证书的问题了。先看看是不是因为使用的证书是自签的self-signed-certificate。grpc-java里提供了一些测试用的证书和私钥和说明文档。在测试程序里使用了它们提供的server1.pem,server1.key,ca.pem:

package learn.grpc.server

import io.grpc.{ServerBuilder,ServerServiceDefinition}

import io.grpc.netty.NettyServerBuilder

import java.io._

trait gRPCServer {

  val serverCrtFile = new File("/Users/tiger/certs/server1.pem")

  val serverKeyFile = new File("/Users/tiger/certs/server1.key")

  def runServer(service: ServerServiceDefinition): Unit = {

    val server = NettyServerBuilder

      .forPort(50051)

      .addService(service)

      .useTransportSecurity(serverCrtFile,serverKeyFile)

      .build

      .start

    // make sure our server is stopped when jvm is shut down

    Runtime.getRuntime.addShutdownHook(new Thread() {

      override def run(): Unit = server.shutdown()

    })

    server.awaitTermination()

  }

}

...

package learn.grpc.sum.one2many.client

import java.io.File

import io.grpc.stub.StreamObserver

import demo.services.sum._

import io.grpc.netty.{GrpcSslContexts, NegotiationType, NettyChannelBuilder}

object One2ManyClient {

  def main(args: Array[String]): Unit = {

    val clientCrtFile = new File("/Users/tiger/certs/ca.pem")  // new File(getClass.getClassLoader.getResource("badserver.pem").getPath)

    val sslContextBuilder = GrpcSslContexts.forClient().trustManager(clientCrtFile)

    //build connection channel

    val channel = NettyChannelBuilder

      .forAddress("192.168.0.189",50051)

      .negotiationType(NegotiationType.TLS)

      .sslContext(sslContextBuilder.build())

      .overrideAuthority("foo.test.google.fr")

      .build()

    // get asyn stub

    val client: SumOneToManyGrpc.SumOneToManyStub = SumOneToManyGrpc.stub(channel)

    // prepare stream observer

    val streamObserver = new StreamObserver[SumResponse] {

      override def onError(t: Throwable): Unit = println(s"error: ${t.getMessage}")

      override def onCompleted(): Unit = println("Done incrementing !!!")

      override def onNext(value: SumResponse): Unit = println(s"current value: ${value.currentResult}")

    }

    // call service with stream observer

    client.addOneToMany(SumRequest().withToAdd(6),streamObserver)

    // wait for async execution

    scala.io.StdIn.readLine()

  }

}

连接成功了。判断正确,是证书的问题。再研究一下证书是怎么产生的,尝试按文档指引重新产生这些自签证书:可惜的是好像还有些文件是缺失的,如serial。那么上面的.overrideAuthority("foo.test.google.fr")又是什么意思呢?算了,以后有时间再研究吧。这次起码证明grpc ssl/tls是可以发挥作用的。

Akka-CQRS(10)- gRPC on SSL/TLS 安全连接的更多相关文章

  1. Akka-CQRS(13)- SSL/TLS for gRPC and HTTPS:自签名证书产生和使用

    到现在,我们已经完成了POS平台和前端的网络集成.不过,还是那句话:平台系统的网络安全是至关重要的.前一篇博客里我们尝试实现了gRPC ssl/tls网络连接,但测试时用的证书如何产生始终没有搞清楚. ...

  2. MsSQL使用加密连接SSL/TLS

    说明 应用程序通过未加密的通道与数据库服务器通信, 这可能会造成重大的安全风险.在这种情况下, 攻击者可以修改用户输入的数据, 甚至对数据库服务器执行任意 SQL 命令. 例如,当您使用以下连接字符串 ...

  3. SQL Server使用加密连接SSL/TLS (转载)

    说明 应用程序通过未加密的通道与数据库服务器通信, 这可能会造成重大的安全风险.在这种情况下, 攻击者可以修改用户输入的数据, 甚至对数据库服务器执行任意 SQL 命令.例如,当您使用以下连接字符串时 ...

  4. 简而意赅 HTTP HTTPS SSL TLS 之间有什么不同

    HTTP HTTPS SSL TLS 之间有什么不同? SSL是Secure Sockets Layer的缩写.SSL的作用是为网络上的两台机器或设备提供了一个安全的通道. TLS是SSL的一个新的名 ...

  5. HTTPS详解二:SSL / TLS 工作原理和详细握手过程

    HTTPS 详解一:附带最精美详尽的 HTTPS 原理图 HTTPS详解二:SSL / TLS 工作原理和详细握手过程 在上篇文章HTTPS详解一中,我已经为大家介绍了 HTTPS 的详细原理和通信流 ...

  6. 跟我一起学Go系列:Go gRPC 安全认证机制-SSL/TLS认证

    Go gRPC 系列: 跟我一起学Go系列:gRPC 拦截器使用 跟我一起学Go系列:gRPC 入门必备 第一篇入门说过 gRPC 底层是基于 HTTP/2 协议的,HTTP 本身不带任何加密传输功能 ...

  7. .NET Core下使用gRpc公开服务(SSL/TLS)

    一.前言 前一阵子关于.NET的各大公众号都发表了关于gRpc的消息,而随之而来的就是一波关于.NET Core下如何使用的教程,但是在这众多的教程中基本都是泛泛而谈,难以实际在实际环境中使用,而该篇 ...

  8. 协议森林17 我和你的悄悄话 (SSL/TLS协议)

    作者:Vamei 出处:http://www.cnblogs.com/vamei 转载请先与我联系. TLS名为传输层安全协议(Transport Layer Protocol),这个协议是一套加密的 ...

  9. 好程序员带你了解一下HTTPS和SSL/TLS协议的背景与基础

    >> 相关背景知识 要说清楚 HTTPS 协议的实现原理,至少需要如下几个背景知识. 大致了解几个基本术语(HTTPS.SSL.TLS)的含义 大致了解 HTTP 和 TCP 的关系(尤其 ...

随机推荐

  1. Goldbach’s Conjecture(信息学奥赛一本通 1622)

    [题目描述] 原题来自:Ulm Local,题面详见:POJ 2262 哥德巴赫猜想:任何大于 44 的偶数都可以拆成两个奇素数之和. 比如: 8=3+5 20=3+17=7+13 42=5+37=1 ...

  2. Axure9 9.0.0.3648 秘钥亲测可用

    用户名: thisProEdition秘钥:PkgeOGle9dSCMXTAczSrTGQZJLcviUJO1kG6onDIH/C68b+AUItWKdbBrmkJsJ0m

  3. Shell脚本中$0、$?、$!、$$、$*、$#、$@的意义

    $0 当前脚本的文件名$n 传递给脚本或者函数的参数,脚本后的第n个字符串,n=1…9$# 传递给脚本或者函数的参数个数$? 上一个命名的退出状态,或者函数的返回值(非0表示错误)$$ shell本身 ...

  4. Gaze Estimation学习笔记(2)-It's Written All Over Your Face Full-Face Appearance-Based Gaze Estimation

    目录 前言 将完整脸部图像作为输入的空间权重CNN方法 将full-face image作为输入的原因 加入空间权重的CNN方法 基础CNN结构 空间权重机制 实验及分析 头部姿态.面部表现视线方向的 ...

  5. border-radius实例2

    一.border-radius 最大值100% /* border-radius的最大值是100% */ .block { width: 100px; height: 100px; border: 1 ...

  6. 【传输协议】thrift的IDL语法

    一.IDL Thrift 采用IDL(Interface Definition Language)来定义通用的服务接口,然后通过Thrift提供的编译器,可以将服务接口编译成不同语言编写的代码,通过这 ...

  7. 【laravel5.5+Passport】laravel5的前后端分离之Passport设计

    项目中使用到了laravel5的passport组件,进行前后端分离的 api认证部分: 前后端分离的api认证,我们用的是: [密码授权令牌],需要用户登录->指定client_id/clie ...

  8. kotlin基础 条件控制 when

    When 表达式 when 将它的参数和所有的分支条件顺序比较,直到某个分支满足条件. when 既可以被当做表达式使用也可以被当做语句使用.如果它被当做表达式,符合条件的分支的值就是整个表达式的值, ...

  9. Java12新特性 -- 可中断的 G1 Mixed GC

    G1是一个垃圾收集器,设计用于具有大量内存的多处理器机器.由于它提高了性能效率,G1垃圾收集器最终将取代CMS垃圾收集器. 该垃圾收集器设计的主要目标之一是满足用户设置的预期的 JVM 停顿时间. G ...

  10. Operation之过滤操作符

    filter 该操作符就是用来过滤掉某些不符合要求的事件 Observable.of(2, 30, 22, 5, 60, 3, 40, 9) .filter{ $0 > 10 } .subscr ...