Apache HttpClient是一个底层、轻量级的客户端HTTP库,用于与HTTP服务器进行通信。
在本教程中,我们将学习如何在使用HttpClient时配置支持的传输层安全(TLS)版本。
我们将首先概述TLS版本协商如何在客户端和服务器之间工作。
之后,我们将看看在使用HttpClient时配置支持的TLS版本的三种不同方式。
TLS是一种互联网协议,可在两方之间提供安全、可信的通信。它封装了像HTTP这样的应用层协议。
TLS协议自1999年首次发布以来已多次修订。
因此,客户端和服务器在建立新连接时,首先就他们将使用的TLS版本达成一致非常重要。
TLS版本在客户端和服务器交换hello消息后达成一致:
由于存在降级攻击的风险,因此正确配置Web客户端支持的TLS版本非常重要。
请注意,为了使用最新版本的TLS(TLS 1.3),我们必须使用Java 11或更高版本。
让我们通过HttpClients#custom
定制构建方法提供的HttpClientBuilder
,来定制我们的HTTPClient
配置。
此构建器模式允许我们传入我们自己的SSLConnectionSocketFactory
,它将根据一组所需支持的TLS版本进行实例化:
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory( SSLContexts.createDefault(), new String[] { "TLSv1.2", "TLSv1.3" }, null, SSLConnectionSocketFactory.getDefaultHostnameVerifier()); CloseableHttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
返回的Httpclient
对象现在可以执行HTTP请求了。
通过在SSLConnectionSocketFactory
构造函数中显式设置支持的协议,客户端将仅支持通过TLS 1.2或TLS 1.3的通信。
请注意,在 Apache HttpClient 4.3 之前的版本中,该类称为SSLSocketFactory
。
另外,我们可以使用Java的https.protocols
系统属性配置支持的TLS版本。
此方法可以防止必须将值硬编码到应用程序代码中。
相反,我们将配置HttpClient
以在设置连接时使用该系统属性。
HttpClient API提供了两种方法来实现。第一个是通过HttpClients#createSystem
:
CloseableHttpClient httpClient = HttpClients.createSystem();
如果需要更多的客户端配置,我们可以使用builder方法代替:
CloseableHttpClient httpClient = HttpClients.custom().useSystemProperties().build();
这两种方法都告诉HttpClient
在连接配置期间使用系统属性。
这允许我们在应用程序运行时使用命令行参数设置所需的TLS版本。例如:
$ java -Dhttps.protocols=TLSv1.1,TLSv1.2,TLSv1.3 -jar webClient.jar
还可以根据主机名和端口等连接详细信息设置TLS版本。我们将扩展SSLConnectionSocketFactory
并覆盖prepareSocket
方法。
客户端会在启动新连接之前调用prepareSocket
方法,这将可以让我们在每个连接的基础上决定使用哪些TLS协议。
也可以启用对旧TLS版本的支持,但前提是远程主机具有特定的子域:
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(SSLContexts.createDefault()){ @Override protected void prepareSocket(SSLSocket socket) { String hostname = socket.getInetAddress().getHostName(); if (hostname.endsWith("internal.system.com")){ socket.setEnabledProtocols(new String[] { "TLSv1", "TLSv1.1", "TLSv1.2", "TLSv1.3" }); } else { socket.setEnabledProtocols(new String[] {"TLSv1.3"}); } } }; CloseableHttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
在上面的示例中,prepareSocket
方法首先获取SSLSocket
将连接到的远程主机名,然后使用主机名来确定要启用的TLS协议。
现在,我们的HTTP客户端将对每个请求强制执行TLS 1.3,除了目标主机名的格式为*.internal.system.com
。
由于能够在创建新SSLSocket
之前插入自定义逻辑,我们的应用程序现在可以自定义TLS通信的详细信息。
在本文中,我们研究了在使用Apache HttpClient库时配置支持的TLS版本的三种不同方式。
我们已经了解了如何为所有连接或基于每个连接设置TLS版本。