JAVA基于HTTPS加密远程调用实现.pdfVIP

JAVA 基于HTTPS 的加密远程调用的实现 2008-07-03 9:17 A.M. ServicePlatform-v2最终通过HTTPS 强加密实现了通讯的安全传输,毕竟传输的都是关键的 用户账号,而且我们现在还没有自己的专有网络. ServicePlatform 的RMI 使用的轻量级Hessian 或Burlup 协议是基于HTTP 协议的,如果部署得 当,在没有恶意窃听的情况下是不会出现用户信息泄漏的问题, 但是一旦平台启用后RMI 调用被 恶意截获,那么在request 里设计的注册服务的密码验证和用户信息都将实效,SP 平台的接口暴 露,用户信息泄漏. 彻底的解决方法就是强制HTTPS 方式访问RMI 接口,而HTTPS 对于HTTP 是协 议本身是透明的(所谓嵌套层的由来),所以HTTPS 可以在不修改 SP 的代码的(配置描述符的修改 当然避免不了)情况下实现RMI 通讯的强加密,而且也确实如此. ServicePlatform 的默认部署是强制 HTTPS 访问RMI 接口,使用ServicePlatform 的客户端除了 需要配置为HTTPS 的invoker 的地址外,还需要获得 ServicePlatform 的证书,否则JSSE 将不会 正常工作.下面是部署描述符web.xml 里面强制HTTPS 访问的部分. !-- comment below to enable plain HTTP invoker rather than HTTPS only -- security-constraint web-resource-collection web-resource-nameremote/web-resource-name url-pattern/remote/*/url-pattern /web-resource-collection user-data-constraint transport-guaranteeCONFIDENTIAL/transport-guarantee /user-data-constraint /security-constraint ServicePlatform 的证书的生成由Java 的keygen 完成 %JAVA_HOME%\bin\keytool -genkey -alias tomcat -keypass changeit -keyalg RSA -validity 365 其中,changeit 为密钥的生成密码,需要与tomcat 的服务器部署描述符一致,参考下面的 server.xml 的片断 Connector port=8443 maxHttpHeaderSize=8192 maxThreads=150 minSpareThreads=25 maxSpareThreads=75 enableLookups=false disableUploadTimeout=true acceptCount=100 scheme=https secure=true clientAuth=false sslProtocol=TLS keystorePass=changeit keystoreFile=conf/keystore/ 生成证书时必须填写正确的ServicePlatform 运行的服务器的FQDN,然后和 perties 文件中的invoker 的URL 的FQDN 完全一致, 否则JSSE 将证书视为无效,无法建立HTTPS 连接,然后在启动客户端的时候需要添加指向证书的 JVM 参数 -D.ssl.trustStore=path\to\your\generated\keystore\file 应用服务器和JDK 版本信息 Application Server tomcat-5.5.15 JDK 1.5.0_06 Java 应用Tomcat 中实现https 安全连接的方法 SSL, 或者Secure Socket Layer，是一种允许web 浏览器和web 服务器通过一个安全的连 接进行交流的技术。这意味着将被发送的数据在一端被翻译成密码，传送出去，然后在另一端解 开密