FeignClient发送https请求时的证书验证原理分析
背景
微服务之间存在调用关系,且部署为 SSL 协议时,Feignt 请求报异常:
Caused by: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
这个异常是怎么产生的,解决办法是什么呢?利用 DeepSeek 回忆一下这个问题。输入问题:
FeignClient发送 https 请求时的 SSL 验证原理是什么呢
FeignClient在发送HTTPS请求时,其SSL验证原理主要涉及SSL/TLS协议的握手过程、证书验证机制以及如何处理自定义的SSL配置,以下是详细的原理说明。
1. SSL/TLS握手过程
当FeignClient发起HTTPS请求时,首先会与目标服务器进行SSL/TLS握手。握手过程包括以下几个步骤:
- 客户端发送支持的加密套件和压缩方法:客户端向服务器发送它支持的加密算法(如TLSv1.2)和压缩方法。
- 服务器响应并选择加密套件:服务器选择一个加密套件并发送自己的数字证书。
- 证书验证:客户端验证服务器的证书是否由受信任的证书颁发机构(CA)签发。如果证书有效,则继续握手。
- 生成共享密钥:客户端生成一个随机数(premaster secret),并使用服务器的公钥加密后发送给服务器。
- 服务器解密并生成会话密钥:服务器使用自己的私钥解密premaster secret,并生成会话密钥,用于后续的加密通信。
- 加密通信:客户端和服务器使用会话密钥对数据进行加密和解密,确保数据传输的安全性。
2. 证书验证机制
在SSL/TLS握手过程中,证书验证是确保通信双方身份真实性的关键步骤。FeignClient在发送HTTPS请求时,会根据配置的SSL上下文(SSLContext)和信任管理器(X509TrustManager)来验证服务器的证书。
- 默认验证:如果未配置自定义的SSL上下文,FeignClient会使用系统默认的SSL上下文,该上下文信任由Java自带的CA签发的证书。如果目标服务器的证书是自签名的或由不受信任的CA签发的,验证会失败,导致连接中断。
- 自定义验证:通过配置自定义的SSL上下文和信任管理器,可以指定信任的证书或忽略证书验证。例如,使用
X509TrustManager信任所有证书,或者通过NoopHostnameVerifier忽略主机名验证。
3. FeignClient的SSL配置
在Spring Cloud项目中,FeignClient的SSL配置通常通过以下方式实现:
- 使用
@FeignClient注解:在Feign客户端接口中指定URL为HTTPS地址,例如:
@FeignClient(name = "cloud-paltform", url = "https://xxx:9999")
- 配置SSL上下文:通过自定义的
Client配置类,设置SSL上下文和信任管理器。例如:
@Configurationpublic class FeignHttpsConfig {@Beanpublic Client feignClient() {return new Client.Default(getSSLSocketFactory(), new NoopHostnameVerifier());}private SSLSocketFactory getSSLSocketFactory() throws Exception {SSLContext sslContext = SSLContext.getInstance("TLSv1.2");X509TrustManager tm = new X509TrustManager() {@Overridepublic void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {// 忽略客户端证书验证}@Overridepublic void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {// 忽略服务器证书验证}@Overridepublic X509Certificate[] getAcceptedIssuers() {return new X509Certificate[0];}};sslContext.init(null, new TrustManager[]{tm}, new SecureRandom());return sslContext.getSocketFactory();}}
通过上述配置,FeignClient在发送HTTPS请求时会忽略SSL证书验证,从而绕过证书信任问题。
- Spring Boot配置:在
application.yml或application.properties中配置SSL相关参数,例如:
feign:httpclient:disable-ssl-validation: true
4. 绕过SSL验证的注意事项
虽然绕过SSL验证可以解决证书信任问题,但需要注意以下几点:
- 安全性风险:忽略SSL验证会导致中间人攻击(MITM)的风险,攻击者可以拦截和修改通信内容,因此仅在测试环境中使用。
- 证书管理:如果使用自签名证书,需要将其添加到信任库中,否则客户端无法验证证书的有效性。
- 依赖管理:确保项目中引入了正确的依赖,例如
feign-httpclient,以便使用HttpClient的SSL配置。
5. 总结
FeignClient在发送HTTPS请求时,通过SSL/TLS协议进行加密通信,并通过证书验证确保服务器身份的真实性。
默认情况下,FeignClient会使用系统默认的SSL上下文,但可以通过自定义配置绕过SSL验证。
在实际应用中,建议使用受信任的CA签发的证书,并正确配置SSL上下文以确保通信的安全性。
解决办法:
- 通过配置
feign.httpclient.disable-ssl-validation: true禁用 SSL 校验 。测试了,不生效。需要跟源码看看具体生效配置是什么。 - 基于 spring-cloud-loadbalancer 的 Feign 客户端配置禁用 SSL 校验
结论:最好还是应该通过配置来控制,方法二需要添加一个条件。
相关文章:
FeignClient发送https请求时的证书验证原理分析
背景 微服务之间存在调用关系,且部署为 SSL 协议时,Feignt 请求报异常: Caused by: javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find vali…...
UDP组播套接字与URI/URL/URN技术详解
UDP组播套接字基础 Java通过MulticastSocket类提供对UDP组播通信的支持,该机制允许单个数据报同时发送给多个接收者。组播套接字的工作机制与标准DatagramSocket类似,但核心区别在于其基于组播组成员关系的通信模型。 组播组成员管理 创建并绑定组播套接字后,必须调用joi…...
机器学习中的关键术语及其含义
神经元及神经网络 机器学习中的神经网络是一种模仿生物神经网络的结构和功能的数学模型或计算模型。它是指按照一定的规则将多个神经元连接起来的网络。 神经网络是一种运算模型,由大量的节点(或称神经元)之间相互联接构成。每个节点代表一…...
点云识别模型汇总整理
点云识别模型主要分类: 目前主流的点云识别模型主要分为 基于点直接处理的方法:PointNet、PointNet 、DGCNN、 PointCNN、 Point Transformer、 RandLA-Net、 PointMLP、 PointNeXt ;基于体素化的方法:VoxelNet、SECOND、PV-RCN…...
项目更改权限后都被git标记为改变,怎么去除
❗问题描述: 当你修改了项目中的文件权限(如使用 chmod 改了可执行权限),Git 会把这些文件标记为“已更改”,即使内容并没有发生任何改变。 ✅ 解决方法: ✅ 方法一:告诉 Git 忽略权限变化&am…...
网络编程1_网络编程引入
为什么需要网络编程? 用户再在浏览器中,打开在线视频资源等等,实质上说通过网络,获取到从网络上传输过来的一个资源。 与打开本地的文件类似,只是这个文件的来源是网络。相比本地资源来说,网络提供了更为…...
【Day38】
DAY 38 Dataset和Dataloader类 对应5. 27作业 知识点回顾: Dataset类的__getitem__和__len__方法(本质是python的特殊方法)Dataloader类minist手写数据集的了解 作业:了解下cifar数据集,尝试获取其中一张图片 import …...
HTML Day04
Day04 0.引言1. HTML字符实体2. HTML表单2.1 表单标签2.2 表单示例 3. HTML框架4. HTML颜色4.1 16进制表示法4.2 rgba表示法4.3 名称表达法 5. HTML脚本 0.引言 刚刚回顾了前面几篇博客,感觉写的内容倒是很详细,每个知识点都做了说明。但是感觉在知识组织…...
佳能 Canon G3030 Series 打印机信息
基本参数 连接方式:Hi-Speed USB 接口,支持 IEEE802.11n/802.11g/802.11b/802.11a/802.11ac 无线连接,可同时使用 USB 和网络连接。尺寸重量:外观尺寸约为 416337177mm,重量约为 6.0kg。电源规格:AC 100-2…...
云原生安全基石:Kubernetes 核心概念与安全实践指南
🔥「炎码工坊」技术弹药已装填! 点击关注 → 解锁工业级干货【工具实测|项目避坑|源码燃烧指南】 一、基础概念 1. Kubernetes 架构全景 Kubernetes(简称 K8s)采用主从架构,由控制平面(Control Plane&…...
图像修复的可视化demo代码
做项目的时候需要用到一个windows窗口可视化来展示我们的工作,我们的工作是一个文本指导的人脸图像修复,所以窗口需要包括输入图像,文本指导输入和修复结果,并且提供在输入图像上画mask的功能,使用tkinter来实现&#…...
autodl 安装了多个conda虚拟环境 选择合适虚拟环境的语句
1.conda env list 列出所有虚拟环境 可以看到,我有两个虚拟环境,一个是joygen,一个是base conda activate base 或者 conda activate joygen 激活对应的环境。我选择激活 joygen 环境 然后就可以在joygen环境下进行操作了 base环境也是同理…...
【AI工具应用】使用 trae 实现 word 转成 html
假如我们要实现某个网站的《隐私协议》等静态页面,产品给了一个 word 文档,以前我都是手动从 word 文档复制一行的文字,然后粘贴到一个html文件中,还得自己加各种标签,很麻烦。 我们可以使用 trae 等 ai 工具实现 wor…...
ansible-playbook 进阶 接上一章内容
1.异常中断 做法1:强制正常 编写 nginx 的 playbook 文件 01-zuofa .yml - hosts : web remote_user : root tasks : - name : create new user user : name nginx-test system yes uid 82 shell / sbin / nologin - name : test new user shell : gete…...
趋势直线指标
趋势直线副图和主图指标,旨在通过技术分析工具帮助交易者识别市场趋势和潜在的买卖点。 副图指标:基于KDJ指标的交易策略 1. RSV值计算: - RSV(未成熟随机值)反映了当前收盘价在过去一段时间内的相对位置。通过计算当前…...
基线配置管理:为什么它对网络稳定性至关重要
什么是基线配置(Baseline Configuration) 基线配置(Baseline Configuration)是经过批准的标准化主设置,代表所有设备应遵循的安全、合规且运行稳定的配置基准,可作为评估变更、偏差或未授权修改的参考基准…...
)
AWS WebRTC:获取ICE服务地址(part 1)
建立WebRTC连接的第二步是获取ICE服务地址。 ICE全称:Interactive Connectivity Establishment,建立互动连接。 ICE 服务地址,主要是 TURN 和 STUN 服务器的地址,用于 WebRTC 在 NAT 网络环境中协商建立连接。 上代码ÿ…...
Nest全栈到失业(一):Nest基础知识扫盲
Nest 是什么? 问你一个问题,node是不是把js拉出来浏览器环境运行了?当然,他使用了v8引擎加上自己的底层模块从而实现了,在外部编辑处理文件等;然后它使用很多方式来发送请求是吧,你知道的什么http.request 或 https.request; 我们浏览器中,使用AJAX以及封装AJAX和http的Axios…...
摩尔线程S4000国产信创计算卡性能实战——Pytorch转译,多卡P2P通信与MUSA编程
简介 MTT S4000 是基于摩尔线程曲院 GPU 架构打造的全功能元计算卡,为千亿规模大语言模型的训练、微调和推理进行了定制优化,结合先进的图形渲染能力、视频编解码能力和超高清 8K HDR 显示能力,助力人工智能、图形渲染、多媒体、科学计算与物…...
Tesseract OCR 安装与中文+英文识别实现
一、下载 https://digi.bib.uni-mannheim.de/tesseract/ 下载,尽量选择时间靠前的(识别更好些)。符合你的运行机(我的是windows64) 持续点击下一步安装,安装你认可的路径即可,没必要配置环境变…...
Cypress + React + TypeScript
🧪 Cypress + React + TypeScript 组件测试全流程实战:从入门到自动化集成 在现代前端开发中,组件测试 是保障 UI 行为可靠性的重要手段。本文将通过一个 React 项目示例,实战演示如何结合 Cypress + React + TypeScript 实现从零配置到自动化集成的完整测试链路。 一、项…...
每个路由器接口,都必须分配所属网络内的 IP 地址,用于转发数据包
在IP网络中,主机(Host)和路由器接口(Router Interface)都需要分配网络地址(IP地址)。 1. 主机(Host)的IP地址分配 (1) 作用 主机的IP地址用于唯一标识该设备࿰…...
——布尔变量)
c++第四课(基础c)——布尔变量
1.前言 好,今天我们来学布尔变量(bool),开搞! 2.正文 2.1布尔数据的定义值 布尔数据的定义值,是只有真和假 顺便提一句0是假,非0的数字都是真 不过为了简便 我们一般都用0和1 2.2布尔数…...
第2期:APM32微控制器键盘PCB设计实战教程
第2期:APM32微控制器键盘PCB设计实战教程 一、APM32小系统介绍 使用apm32键盘小系统开源工程操作 APM32是一款与STM32兼容的微控制器,可以直接替代STM32进行使用。本教程基于之前开源的APM32小系统,链接将放在录播评论区中供大家参考。 1…...
Docker-搭建MySQL主从复制与双主双从
Docker -- 搭建MySQL主从复制与双主双从 一、MySQL主从复制1.1 准备工作从 Harbor 私有仓库拉取镜像直接拉取镜像运行容器 1.2 配置主、从服务器1.3 创建主、从服务器1.4 启动主库,创建同步用户1.5 配置启动从库1.6 主从复制测试 二、MySQL双主双从2.1 创建网络2.2 …...
LeetCode - 203. 移除链表元素
目录 题目 解题思路 读者可能出现的错误写法 正确的写法 题目 203. 移除链表元素 - 力扣(LeetCode) 解题思路 使用哨兵节点: 创建一个哨兵节点(dummy),将其next指向原链表头节点 哨兵节点的作用是统一处理所有情况&#x…...
canvas 实现全屏倾斜重复水印
参考: html、js、canvas实现水印_html页面使用canvas绘制重复水印-CSDN博客 效果 不求水印显示完全。 实现代码 <template><div class"watermark" ref"waterMark"></div></template><script lang&q…...
vue3项目 前端文件下载的两种工具函数
1、Blob 流下载 Blob 表示不可变的原始数据的类文件对象,通常用于处理文件或大块二进制数据。 注意:js中还有一个二进制数据类型ArrayBuffer,它们的区别如下 Blob 可以位于磁盘、高速缓存内存和其他不可用的位置;ArrayBuffer 是存…...
SpringAI系列 - 升级1.0.0
目录 一、调整pom二、MessageChatMemoryAdvisor调整三、ChatMemory get方法删除lastN参数四、QuestionAnswerAdvisor调整Spring AI发布1.0.0正式版了😅 ,搞起… 一、调整pom <properties><java.version>17</java.version><spring-ai.version>...
5.31 day33
知识点回顾: PyTorch和cuda的安装 查看显卡信息的命令行命令(cmd中使用) cuda的检查 简单神经网络的流程 数据预处理(归一化、转换成张量) 模型的定义 继承nn.Module类 定义每一个层 定义前向传播流程 定义损失函数和优…...