实现Spring RESTful服务的SSL

详见：http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt386

本文介绍如何让基于Spring的REST服务变得SSL/TSL化。

首先，假设一个Spring REST 服务如下：

1 2 3 4 5 6 7 8 9

@Controller @RequestMapping("/") public class RestService {     @RequestMapping(method = RequestMethod.GET)     @ResponseBody     public String get() {         return "Called the get Rest Service";     } }

　Web.xml的配置如下：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37

<?xml version="1.0" encoding="UTF-8"?> <web-app     version="3.1"     xmlns="http://xmlns.jcp.org/xml/ns/javaee"     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"     xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd">        <servlet>         <servlet-name>rest</servlet-name>         <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>         <init-param>             <param-name>contextClass</param-name>             <param-value>org.springframework.web.context.support.AnnotationConfigWebApplicationContext</param-value>         </init-param>         <init-param>             <param-name>contextConfigLocation</param-name>             <param-value>com.radcortez.rest.ssl</param-value>         </init-param>         <load-on-startup>1</load-on-startup>     </servlet>        <servlet-mapping>         <servlet-name>rest</servlet-name>         <url-pattern>/</url-pattern>     </servlet-mapping>        <security-constraint>         <web-resource-collection>             <web-resource-name>Rest Application</web-resource-name>             <url-pattern>/*</url-pattern>         </web-resource-collection>         <user-data-constraint>             <!-- Needed for our application to respond to https requests -->             <transport-guarantee>CONFIDENTIAL</transport-guarantee>         </user-data-constraint>     </security-constraint> </web-app>

　注意其中security-constraint, user-data-constraint 和 <transport-guarantee>CONFIDENTIAL</transport-guarantee>配置，这些指定这个应用需要一个安全连接。

　运行这个服务，部署应用到TomEE，键入网址：https://localhost:8443/，如果你正常配置了tomcat的SSL配置，浏览https和端口844应该一切正常，返回：Called the Rest Service

　如果现在调用客户端不是一般浏览器，而是一个Java客户端，这时会抛出错误：

Message: I/O error on GET request for "https://localhost:8443/":sun.security.validator.ValidatorException:

Exception: Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

　这是因为客户端JDK并没有你服务器的证书，你需要导入，这里我们展示使用编程方式提供信任蜜月的方式，这样做的好处：

• 你可以运行应用代码在多个环境(和JDK无关)

• 你不必每次手工将证书导入JDK

• 你也不必升级JDK时得记住你的证书

• 其他原因导致你不能直接向JDK导入证书

　编写代码：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

RestClientConfig.java @Configuration @PropertySource("classpath:config.properties") public class RestClientConfig {     @Bean     public RestOperations restOperations(ClientHttpRequestFactory clientHttpRequestFactory)      throws Exception {         return new RestTemplate(clientHttpRequestFactory);     }        @Bean     public ClientHttpRequestFactory clientHttpRequestFactory(HttpClient httpClient) {         return new HttpComponentsClientHttpRequestFactory(httpClient);     }        @Bean     public HttpClient httpClient(@Value("${keystore.file}") String file,                                  @Value("${keystore.pass}") String password)                                   throws Exception {         KeyStore trustStore = KeyStore.getInstance(KeyStore.getDefaultType());         FileInputStream instream = new FileInputStream(new File(file));         try {             trustStore.load(instream, password.toCharArray());         } finally {             instream.close();         }            SSLContext sslcontext =                 SSLContexts.custom()                 .loadTrustMaterial(trustStore, new TrustSelfSignedStrategy()).build();         SSLConnectionSocketFactory sslsf =                 new SSLConnectionSocketFactory(sslcontext, new String[]{"TLSv1.2"}, null,                                                BROWSER_COMPATIBLE_HOSTNAME_VERIFIER);         return HttpClients.custom().setSSLSocketFactory(sslsf).build();     }        @Bean     public static PropertySourcesPlaceholderConfigurer propertySourcesPlaceholderConfigurer() {         return new PropertySourcesPlaceholderConfigurer();     } }

这里我们使用Spring RestOperations接口规定一个RESTful操作的基本集合，下面我们使用Apache HTTP组件SSLConnectionSocketFactory 提供的功能来校验服务器的信任密钥，也是使用服务器的 KeyStore。

RestServiceClientIT.java

1 2 3 4 5 6 7 8 9 10 11 12 13

@RunWith(SpringJUnit4ClassRunner.class) @ContextConfiguration(classes = RestClientConfig.class) public class RestServiceClientIT {     @Autowired     private RestOperations rest;        @Test     public void testRestRequest() throws Exception {         ResponseEntity response = rest.getForEntity("https://localhost:8443/", String.class);         System.out.println("response = " + response);         System.out.println("response.getBody() = " + response.getBody());     } }

上面是一个简单的测试类，我们需要一个属性文件提供keystore文件位置和密码：

config.properties

keystore.file=${user.home}/.keystore

keystore.pass=changeit

　现在我们可以运行测试客户端，你应该得到如下：

Response: <200 OK,Called the get Rest Service,{Server=[Apache-Coyote/1.1], Cache-Control=[private], Expires=[Thu, 01 Jan 1970 01:00:00 WET], Content-Type=, Content-Length=[27], Date=[Tue, 23 Dec 2014 01:29:20 GMT]}>

Body: Called the get Rest Service

　这说明一切正常，现在，你可以使用Java客户端以SSL/TLS方式调用你的REST服务了。