13人参与 • 2025-07-15 • SSL
如果不配置跳过ssl证书校验,当feign客户端尝试连接到一个使用自签名证书的服务器时,可能会抛出类似以下的异常:
javax.net.ssl.sslhandshakeexception: sun.security.validator.validatorexception: pkix path building failed: sun.security.provider.certpath.suncertpathbuilderexception: unable to find valid certification path to requested target
如果不添加跳过ssl证书校验的配置,feign客户端在调用https服务时会严格验证服务器的ssl证书。
这种行为是默认且推荐的做法,因为它可以确保通信的安全性和完整性。
以下是如果不添加该配置的具体影响:
默认行为:feign客户端会使用系统的默认trustmanager来验证服务器的ssl证书。
验证内容:
过程:
安全性增强:确保数据传输的安全性和完整性,防止中间人攻击。
潜在问题:
ca签发的证书,客户端会拒绝连接,除非这些证书被显式信任。风险:跳过ssl证书校验会使得中间人攻击成为可能,攻击者可以拦截并篡改数据。
适用场景:仅在开发和测试环境中使用,生产环境中应严格配置和验证ssl证书。
实现方法:
trustmanager,忽略证书校验。sslsocketfactory和hostnameverifier。@slf4j
@configuration
public class feignclientconfig {
@bean
public logger.level feignloglevel() {
return logger.level.full;
}
@bean
public cachingspringloadbalancerfactory cachingfactory(springclientfactory clientfactory) {
return new cachingspringloadbalancerfactory(clientfactory);
}
@bean
@conditionalonmissingbean
public client feignclient(cachingspringloadbalancerfactory cachingfactory,
springclientfactory clientfactory) throws nosuchalgorithmexception, keymanagementexception {
sslcontext ctx = sslcontext.getinstance("ssl");
x509trustmanager tm = new x509trustmanager() {
@override
public void checkclienttrusted(x509certificate[] chain, string authtype) {
}
@override
public void checkservertrusted(x509certificate[] chain, string authtype) {
}
@override
public x509certificate[] getacceptedissuers() {
return new x509certificate[0];
}
};
ctx.init(null, new trustmanager[]{tm}, null);
return new loadbalancerfeignclient(new client.default(ctx.getsocketfactory(),
httpsurlconnection.getdefaulthostnameverifier()),
cachingfactory, clientfactory);
}
}
不添加跳过ssl证书校验的配置可以显著提高安全性,但可能会导致连接失败,特别是在使用自签名证书或内部ca证书的情况下。因此,建议在生产环境中正确配置和验证ssl证书,而在开发和测试环境中可以考虑使用跳过ssl证书校验的配置,但应谨慎使用。
以上为个人经验,希望能给大家一个参考,也希望大家多多支持代码网。
您想发表意见!!点此发布评论
版权声明:本文内容由互联网用户贡献,该文观点仅代表作者本人。本站仅提供信息存储服务,不拥有所有权,不承担相关法律责任。 如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2386932994@qq.com 举报,一经查实将立刻删除。
发表评论