java:在 Microsoft Thrifty 客户端中启用 SSL/TLS 连接

原创 已于 2025-11-21 14:06:25 修改 · 921 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #microsoft #ssl #thrifty

于 2025-11-21 12:17:07 首次发布

引言

Microsoft Thrifty 是 Apache Thrift 协议的一个高效实现,它为构建高性能 RPC 服务提供了简洁的 API。然而,与一些其他 Thrift 实现不同,Thrifty 本身并没有直接提供 SSL/TLS 加密支持。本文将介绍如何在 Thrifty 客户端中添加 SSL/TLS 支持,以确保客户端与服务器之间的通信安全。

背景

在很多生产环境中,安全通信是必不可少的。SSL/TLS 协议能够提供数据加密、身份验证和数据完整性保护,确保敏感信息在传输过程中不被窃取或篡改。虽然 Thrifty 没有内置 SSL 支持,但我们可以通过扩展其传输层来实现这一功能。

实现原理

通过分析 xthrift 项目(一个对 Thrifty 进行扩展的项目),我们可以看到实现 SSL 支持的关键在于:

  1. 创建一个自定义的 SSL 上下文工厂
  2. 扩展 ClientFactory 以支持 SSL 配置
  3. 使用 Java 内置的 SSL 功能创建安全套接字连接

核心组件

1. SSLContextFactory

SSLContextFactory 是一个用于创建 SSL 上下文的工厂类。它可以从 PEM 格式的证书文件创建 SSLContext:

public class SSLContextFactory {
    public static SSLContext createSSLContextFromPEM(File caFile, TrustManagerFactory trustManagerFactory,
            long sessionCacheSize, long sessionTimeout) throws IOException {
        String content = Files.toString(checkNotNull(caFile,"caFile is null"), StandardCharsets.US_ASCII);
        return createSSLContextFromPEM(content, caFile.getAbsolutePath(), trustManagerFactory, sessionCacheSize, sessionTimeout);
    }
    
    public static SSLContext createSSLContextFromPEM(String content, String source, TrustManagerFactory trustManagerFactory,
            long sessionCacheSize, long sessionTimeout) throws SSLException {
        // 实现细节...
    }
}

2. PemReader

PemReader 负责读取 PEM 格式的证书文件并将其转换为 DER 格式:

public final class PemReader {
    private static final Pattern CERT_PATTERN = Pattern.compile(
            "-+BEGIN\\s+.*CERTIFICATE[^-]*-+(?:\\s|\\r|\\n)+" + // Header
                    "([a-z0-9+/=\\r\\n]+)" +                    // Base64 text
                    "-+END\\s+.*CERTIFICATE[^-]*-+",            // Footer
            Pattern.CASE_INSENSITIVE);
    
    static byte[][] readCertificates(String content, String source) throws CertificateException {
        // 实现细节...
    }
}

3. 扩展 ClientFactory

ClientFactory 是 Thrifty 客户端的核心工厂类。为了支持 SSL,我们需要对其进行扩展:

public class ClientFactory {
    /** SSL参数, 当定义了{@link #socketFactory}参数时无效,不为null时优先使用SSL参数创建SSL Socket连接 */
    private XSSLClientConfiguration sslClientConfiguration;
    
    /**
     * 设置SSL传输参数<br>
     * <p>
     * 用于创建SSL Socket连接的参数配置,如果参数为null则不设置
     * </p>
     * @param xSSLClientConfiguration SSL传输参数实例
     * @return 当前对象
     * @since 2.6.0
     */
    public ClientFactory setSslClientConfiguration(XSSLClientConfiguration xSSLClientConfiguration) {
        this.sslClientConfiguration = xSSLClientConfiguration;
        return this;
    }
    
    /**
     * 根据当前配置创建并返回一个已初始化的 {@link SocketTransport} 实例<br>
     * <p>
     * 若已设置 {@link #sslClientConfiguration},则优先使用 SSL 上下文创建加密连接;<br>
     * 否则使用默认 {@link SocketFactory} 创建普通 TCP 连接。
     * </p>
     * @return 配置完成的 {@link SocketTransport} 实例
     */
    private SocketTransport createConfiguredSocketTransport() {
        SocketFactory socketFactory = SocketFactory.getDefault();
        if (sslClientConfiguration != null) {
            try {
                SSLContext context = createSSLContextFromPEM(sslClientConfiguration.caFile, null,
                        sslClientConfiguration.sessionCacheSize, sslClientConfiguration.sessionTimeoutSeconds);
                socketFactory = context.getSocketFactory();
            } catch (IOException e) {
                throw new RuntimeException(e);
            }
        }
        return new SocketTransport.Builder(hostAndPort.getHost(), hostAndPort.getPort())
                .socketFactory(socketFactory)
                .connectTimeout((int) connectTimeout)
                .readTimeout((int) readTimeout)
                .build();
    }
}

使用方法

1. 创建 SSL 配置

首先,您需要创建一个 SSL 配置对象:

XSSLClientConfiguration sslConfig = new XSSLClientConfiguration.Builder()
    .caFile(new File("path/to/ca.crt"))
    .ciphers(Arrays.asList("TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"))
    .sessionCacheSize(10000)
    .sessionTimeoutSeconds(86400)
    .build();

2. 配置 ClientFactory

然后,将 SSL 配置应用到 ClientFactory:

ClientFactory factory = ClientFactory.builder()
    .setSslClientConfiguration(sslConfig)
    .setHostAndPort("localhost", 9090)
    .setTimeout(30, TimeUnit.SECONDS)
    .build();

3. 创建客户端实例

最后,使用工厂创建客户端实例:

MyService client = factory.build(MyService.class, MyServiceThriftClient.class);

// 使用客户端
try {
    String result = client.myMethod("parameter");
    System.out.println("Result: " + result);
} catch (Exception e) {
    e.printStackTrace();
}

证书文件格式

支持的证书文件格式:

  • PEM 格式的证书文件
  • 证书和私钥可以分别存储在不同的文件中,也可以存储在同一文件中

注意事项

  1. 确保使用强加密套件以保证通信安全
  2. 生产环境中应使用有效的证书颁发机构签发的证书
  3. 客户端需要信任服务器的证书颁发机构,或者配置相应的 CA 证书
  4. 正确配置 SSL 会话缓存大小和超时时间以优化性能

结论

通过扩展 Thrifty 客户端,我们可以轻松地为其添加 SSL/TLS 支持,从而保护客户端与服务器之间的通信安全。这种方法利用了 Java 内置的 SSL 功能,同时保持了 Thrifty 原有的简洁 API。在实际项目中,您可以根据具体需求调整 SSL 配置,以满足安全性和性能要求。

通过这种方式,即使 Thrifty 本身不直接支持 SSL,我们也能构建安全的 RPC 通信,为生产环境中的敏感数据传输提供保障。

完整代码

以上完整代码参见码云仓库:https://gitee.com/l0km/xthrift (ssl 分支)

thrifty-bunny:使用 RabbitMQ 作为 RPC 调用传输机制的 Apache Thrift 适配器
06-06
将此行添加到应用程序的 Gemfile 中: gem 'thrifty-bunny' 然后执行: $ bundle 或者自己安装: $ gem install thrifty-bunny 用法 gem 提供了一个与 RabbitMQ 集成的 Thrift 服务器。 您将以标准 Thrift ...
thrifty:适用于Android的Thrift,可为您节省方法
04-30
节俭 Thrifty是适用于Android的Apache Thrift软件堆栈的实现,它使用Apache Thrift编译器采用的方法数量的1/4。... Thrifty诞生于Outlook for Android代码库中。 在节俭之前,生成的节俭类消耗了20,000个方法。
Microsoft/thrifty:解决thrifty-compiler.jar运行报错不能编译IDL生成java class代码问题
10km的专栏
01-04 865
thrifty是什么 thrifty,对,没有拼写错,就是thrifty,是Microsoft的一个开源项目(https://github.com/Microsoft/thrifty),你可以简单理解为它是一个android版本的thrift框架,是facebook贡献给apache基金会的thrift框架在android平台的实现,与thrift完全兼容。 为什么Microsoft会重复制造轮子...
Microsoft/thrifty:RPC方法返回NULL的异常处理
10km的专栏
01-10 1472
我们知道:thrift框架是不允许返回值为null的,如果返回值为null,client端会抛出异常,我在之用facebook/swift框架时就遇到了这个问题,这是当时解决问题的记录《thrift:返回null的解决办法》,现在使用Microsoft/thrifty框架实现的客户端同样也存在这个问题。 下面是thifty-compiler生成的client端存根代码的receive方法的部分片段...
Microsoft/thrifty vs facebook/swift: TTransportException:Buffer doesn‘t have enough bytes to read 异常
10km的专栏
01-08 1467
基于thrift的RPC系统中,如果service端是基于facebook的[swift](https://github.com/facebook/swift)开源框架实现的,而client是基于Microsoft的[thrifty](https://github.com/Microsoft/thrifty)开源框架实现的,那么在client向service端发送请求时,service端就可能会抛出本文标题所说的异常。
thrifty底层原理 java_Thrifty 是基于Attribute 的 .net Thrift RPC 框架
weixin_39756235的博客
02-19 194
Thrifty ProjectThrifty.Net is a port of Swift(from facebook) for .Net , an attribute-based library for creating Thrift serializable types and services.you can write C# attributed object instead of IDL...
java学习总结——Apache thrift服务端与客户端的创建
qq_36372507的博客
02-03 911
thrift的使用分为三个步骤: 1、创建接口描述文件,即demo.thrift文件; 2、通过thrift文件生成代码。(这个过程需要安装thrift的编译环境,过程有些繁琐。thrift使用C++编写的,所以编译环境是C++的环境。编译环境教程可以网上找,挺多的。) 生成代码命令:thrift -r -gen java -out "生成代码所在目录(目录必须存在)" thriftFil
Thrift框架,java作为客户端,c++作为服务端
blockBTC的博客
01-22 1178
首先要对thrift了解,就是一个RPC框架,做过JAVA的应该知道类似于dubbo,      thrift是FaceBook开源的一款跨语言的RPC(Remote Procedure Call:远程过程调用)框架,其具体过程为:RPC采用客户机/服务器模式。请求程序就是一个客户机,而服务提供程序就是一个服务器。首先,客户机调用进程发送一个有进程参数的调用信息到服务进程,然后等待应答信息。在服...
Java实现Thrift实例
有问题的请私信或关注v【技术印记】留言
07-27 890
Thrift的JAVA实现
thrift JAVA服务端 python客户端的实现
u013244517的专栏
10-23 3931
最近用Python做网页的抓取,因为想得到JS解释后的HTML,先后尝试了selenium,windmill,htmlunit等web测试框架,因为只要得到html不需要界面展现,最后选择了htmlunit,而htmlunit只有Java的实现,所以考虑用RPC来进行python与JAVA连接 最开始试用了一下ICE,JAVA端无问题,在用python做client的时候,发现ICE现在还
thrift java 非阻塞_【基础】利用thrift实现一个非阻塞带有回调机制的客户端
weixin_39815435的博客
02-16 245
假设读者对thrift有一定了解。客户端有时需要非阻塞的去发送请求,给定服务端一个请求,要求其返回一个计算结果。但是客户端不想等待服务端处理完,而是想发送完这个指令后自己去做其他事情,当结果返回时自动的去处理。比如举个形象点的例子:饭店的Boss让小弟A把本周店里的欠条收集起来放到自己桌子上,然后又告诉自己的小秘书坐在自己办公室等着小弟A把欠条拿过来,然后统计一下一共有多少,然后Boss自己出去半...
thrifty-backend:节俭应用程序的后端api
04-05
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...
thrifty-logorel:使用DappStarter启动您的区块链开发
03-28
该过程将需要1-3分钟,在进行过程中,您可以继续进行下一步。 毛线错误 当Yarn安装依赖项时,您可能会看到与node-gyp软件包相关的故障。 发生这些故障的原因是,node-gyp软件包需要在计算机上安装某些其他构建工具...
gsoap入门:解决axis2服务器返回错误:com.ctc.wstx.exc.WstxParsingException: Undeclared namespace prefix “ns1“
热门推荐
10km的专栏
08-13 1万+
我们的项目中webservice服务器已经搭建好,基于用axis2提供名为FaceDbService的人脸识别服务。现在的任务是用gosap开发C++版本的客户端,所以最近在尝试用gsoap生成的c++代码来调用webservice. 关于生成gsoap C++客户端代码及编译,参见我的前一篇博客《gsoap入门:C/C++代码生成及编译》。 测试代码下面是测试代码#include
erpc(EmbeddedRPC)入门笔记
10km的专栏
04-18 8944
RPC 最近在忙一个IOT设备的项目,想设计一个通信系统通过串口控制设备(freertos)的运行。按照传统的设计思路,先要定义一套串口通信协议,在这套协议中传输层协议、应用层协议一个都不能少。每一层协议都要自己实现。数据编码/解码,数据校验,容错,这些非常基础的东西都要自己实现。 等这些协议都实现了,才是能开始设计真正的业务逻辑。 和同事商议后,一致认为要是照这么干,黄花菜都凉了。我们的生命不能...
gsoap入门:C/C++代码生成及编译
10km的专栏
08-10 8735
gsoap是什么先来一段百度百科,说说gsoap是什么: gSOAP一种跨平台的开源的C/C++软件开发工具包。生成C/C++的RPC代码,XML数据绑定,对SOAP Web服务和其他应用形成高效的具体架构解析器,它们都受益于一个XML接口。 这个工具包提供了一个全面和透明的XML数据绑定解决方案,Autocoding节省大量开发时间来执行SOAP/XML Web服务中的C/C++。此外,使用X
gsoap入门:获取gsoap的错误信息
10km的专栏
08-11 6165
今天学习gsoap的函数调用方式,一上来就出错了,错误原因还没找到,但为了查找出错原因,需要打出错误信息,于是学会了在调用gsoap的函数出错时获取错误信息的方式:struct soap soap; //... 执行gsoap调用 if (soap.error!= SOAP_OK) { // 只打错误码,貌似没啥用, std::printf("soap err,err
通过升级cmake版本解决NDK编译报错:no member named ‘signbit‘ in the global namespace;
10km的专栏
12-04 4803
今天在ubuntu16下使用NDK(r19)编译thrift c++库时报了很多类似如下的错误: /android-ndk-r19c/toolchains/llvm/prebuilt/linux-x86_64/sysroot/usr/include/c++/v1/cmath:314:9: error: no member named ‘signbit’ in the global namespace; did you mean ‘__signbit’? using ::signbit; ~~^ /usr/
解决axis2处理java.util.Date类型对象时丢弃时间部分的问题
10km的专栏
09-21 3873
我目前在做的一个项目以axis2为webservice框架,客户端和服务器端要传输很多复杂对象,在这方面,axis2做得不错,基本满足了我的需要,但当我把客户端提供给要使用的同事时,同事发现了一个问题:就是所有java.util.Date类型的对象,不论从服务器发到客户端的还是从客户端发送到服务器的,都只剩下日期部分(年/月/日),时间部分(时/分/秒)则被抹掉了。。。百思不得其姐啊。。。
thrifty-backend: 掌握Ruby后端API开发与部署
thrifty-backend可能会使用环境变量来管理不同的配置设置,如数据库连接、日志级别、邮件服务器设置等。配置还可能涉及安全设置,如设置访问控制列表(ACLs)和网络策略。 ### 数据库创建与初始化 thrifty-backend...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

10km

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值