关于调用第三方接口,证书的认证问题

原创 已于 2023-04-06 16:12:46 修改 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

于 2023-03-20 18:09:01 首次发布
文章详细描述了证书验证过程中,从PEM格式的证书和.key私钥文件,通过OpenSSL转换为PKCS#12(pfx/p12)文件的过程。在实战中,这个过程用于第三方接口的证书认证。作者还分享了在Java中使用转换后的证书进行HTTPS请求的代码示例,特别提到了密码设置和环境影响。

关于证书验证,网上许多文章可能会有很大区别,有些属于自签证书,这个没在实战中使用过,所以文章只说明一些特殊接口的证书问题。

文章只以我自己项目举例,不通用所有情况。

文章证书来源

由于我负责的接口,是需要先向第三方接口提供方提交证书,进行报备,然后使用提交的证书,进行证书认证,如果你的问题是自签证书,可能本文章的思路无法帮助到你,文章我会贴出部分源码

证书说明

由客户提供的证书(证书格式为PEM文件),同时提供了一个.key的私钥文件

PEM文件内容为

-----BEGIN CERTIFICATE-----

加密后的数据

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

加密后的数据

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

加密后的数据

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----

加密后的数据

-----END CERTIFICATE-----

其实是四个证书组合成的一个证书,分别是Internal Root CA,apigateway,BlueCerts,OnDemand Issuing可能描述的不太准确,这个是我在第三方接口说明获取到的信息,可以不用纠结这个,因为证书生成跟你没关系

KEY文件内容为

----BEGIN RSA PRIVATE KEY-----

加密后的数据

-----END RSA PRIVATE KEY-----

网上许多参考文献,其实对这个说明很模棱两可,有些说需要格式转换,但是我在使用过程中,并没有进行格式转换

组合证书

到这一步,可能会难倒很多人,因为网上各种说法,真的很容易让人混乱,我大概整理了一下我的思路

关于证书

PEM文件:采用 PEM 编码格式的 X.509 证书的文件扩展名;

DER文件:采用 DER 编码格式的 X.509 证书的文件扩展名;

CRT文件:UNIX 系统,可能是 PEM 编码,也可能是 DER 编码,大多数情况下都是采用 PEM 编码;

CER文件:Windows 系统,可能是 PEM 编码,也可能是 DER 编码,大多数情况下都是采用 DER 编码

他们都是使用X.509的证书文件,只是编码格式有区别,这个需要搞清楚,不要搞混了,都是可以相互转换的,具体转换命令自行百度

key文件

key文件有很多种格式,key文件是私钥,可能是.key.pem或者其他,其实跟上面证书意思差不多,都是编码格式,这里客户提供给我们的文件是.key的后缀文件

-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

-----BEGIN RSA PRIVATE KEY-----

-----END RSA PRIVATE KEY-----

证书 + key组合最终用于认证的文件

最终的文件为PKCS#12文件,他有两种后缀,一种为pfx和p12,两种区别不大

使用下列命令

将PEM证书文件和私钥转换为PKCS#12(.pfx .p12)

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt

-out文件,我理解为一个组合文件,证书 + 私钥,可以为.pfx文件,p12文件

-inkey文件,表示私钥,一般为带有key后缀或者,.key.pem等,如果没有带有key后缀,可以查看文件,参看上面

-in文件,表示证书,参考证书说明,可以是.crt .cer .pem .der

上面OpenSSL命令还有另一个版本,但是我实际应用中,没有用到(我没有深入了解原理,只是开发中使用到了)

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

这里的-certfile文件 CACert.crt文件,其实我不太懂,他具体是用来干嘛的

执行上面的命令以后,会提示你输入密码,我设置了密码(这个不设密码我没有试过)

下面是我遇到的坑,仅供参考

  1. 我设置的密码很长,因为是密码是第三方提供的接口账号的密码,在Windows操作窗口使用OpenSSL执行转换命令后,生成的文件会有问题(具体问题未知,可能是我没有配置环境变量),不是无法生成,而是生成的文件有问题,所以我在公司服务器Linux上进行转换的文件

关于代码应用

先说代码的坑,之前网上各种找案例,最后发现,好像与自己的需求不太匹配。

/*
clientConfig是我定义的配置信息,包括需要访问的地址,搭配证书使用的参数等
*/
private HttpResponse merchantQARegisterSend(String param, String fileUrl, ClientConfig clientConfig) {
        HttpResponse response = null;
        try (FileInputStream inStream = new FileInputStream(fileUrl)) {
            KeyStore keyStore = KeyStore.getInstance("PKCS12");
            keyStore.load(inStream, clientConfig.getClientSecret().toCharArray());
            SSLContext sslcontext = SSLContexts.custom()
                    .loadKeyMaterial(keyStore, clientConfig.getClientSecret().toCharArray()).build();

            SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                    sslcontext, new String[]{"TLSv1", "TLSv1.2"}, null,
                    SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

            org.apache.http.client.config.RequestConfig defaultRequestConfig = org.apache.http.client.config.RequestConfig.custom()
                    .setSocketTimeout(5000)
                    .setConnectTimeout(5000)
                    .setConnectionRequestTimeout(5000)
                    .setStaleConnectionCheckEnabled(true)
                    .build();

            CloseableHttpClient httpclient = HttpClients.custom().setDefaultRequestConfig(defaultRequestConfig)
                    .setSSLSocketFactory(sslsf)
                    .build();

            HttpPost post = new HttpPost(clientConfig.getUrl());

            org.apache.http.client.config.RequestConfig requestConfig = org.apache.http.client.config.RequestConfig.custom()
                    .setConnectTimeout(90 * 1000)
                    .setSocketTimeout(90 * 1000)
                    .build();

            post.setConfig(requestConfig);
            properties.put("KEY", clientConfig.getKey());
            StringEntity entity = new StringEntity(param, "utf-8");
            entity.setContentType("application/json");
            post.setEntity(entity);

            Properties properties = new Properties();

            PropertiesConfigurationProvider configurationProvider = new PropertiesConfigurationProvider();
            configurationProvider.setProperties(properties);

            AuthProvider authProvider = HmacAuthBuilder.getBuilder()
                    .setConfiguration(configurationProvider)
                    .build();
            //转换成map,写入请求的header中
            Map<String, String> headers = authProvider.generateAuthHeaders(param, clientConfig.getUrl(), "POST");
            for (Map.Entry<String, String> header : headers.entrySet()) {
                post.setHeader(header.getKey(), header.getValue());
            }

            response = httpclient.execute(post);
        } catch (Exception e) {
            
        }
        return response;
    }
终成败寇
关注
第三方接口调用。身份认证+参数加密
hfuningn的博客
06-08 1081
保证数据的安全性用AES加密的。token进行身份认证(通过JwtUtil生产) 参数加密
接口安全设计之https(证书)
十维之眼的博客
08-22 1224
一、证书 证书在https中有着举足轻重的作用,所以先来介绍证书这个概念。 (一)、CA 1、啥样子 先来看看一般证书都长什么样: 包含三类信息: (1)谁颁发的:颁发者(多数是CA颁发,但有些也是各公司自己颁发比如12306网站的证书) (2)谁使用的:使用者 (3)证书本身信息:版本、序列号、签名算法、签名哈希算法、有效期、公钥 其中证书中最重要的信息是算法和公钥! 2、干吗用的 那这个证书干啥用的呢?证书的作用只有一个:验证数据是否可信。 首先,证书有一个概念叫证书链。从根
【原创】SpringBoot实现使用httpclient配合restTemplate验证服务器与服务器之间调用接口的TLS/SSL证书双向认证(精简版,附真实项目代码)
HD243608836的博客
07-13 2066
我的项目是服务器与服务器之间调接口调用是需要ssl证书双向认证的。 yml中配置: ## 证书双向认证配置(本系统作为客户端) client: ssl: abs: # jks与pkcs12(即pfx)都可以。type不区分大小写 # path: ssl/abs/abs@aaa.abc.com.jks # type: JKS path: ssl/abs/abs@aaa.abc.com.pfx type: PKCS
调用第三方接口出现证书问题
weixin_42945597的博客
02-01 1536
调用第三方接口出现证书问题 描述 sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 问题原因 源应用程序不信任目标应用程序的证书,因为在源应用程序的JVM信任库中找不到该证
调用其他服务器接口证书_第二节,接口相关知识介绍
weixin_39927861的博客
12-05 269
一,常用的接口类型:http,https,restful1,Http与Https区别:Http协议是超文本传输协议,信息是明文传输;Https是具有安全性的SSL加密传输。Http采用的是80端口连接;而Https使用的是443端口。Https协议需要到ca申请证书,一般免费证书很少,需要交费,也有一些Web容器免费,如TOMCAT,而Http不需要。Http连接相对简单,是无状态的;而...
第三方系统访问芋道源码接口,需要签名验证,资源为访问调用接口代码示例
02-28
本资源包提供的关于“第三方系统访问芋道源码接口”的代码示例,详细地展示了数字签名在实际应用中的实现方法和流程。通过对这些代码的学习和应用,开发者可以更好地理解和掌握数字签名技术,从而在未来的项目中有效...
第三方接口设计注意要点
zhangyifang_009的博客
12-29 1143
实际工作中,我们会遇到与三方系统对接的情形,比如对接短信服务、支付服务、地图服务、以及一些外部业务系统的调用和回调等等,不论是我们调用第三方接口还是我们为其他系统提供接口服务,调用过程中会遇到一些大大小小的问题和吐槽的地方,比如接口不通对方可能有白名单限制、接口返回字段与文档不一致、接口不稳定等等,本文总结了一些在设计第三方接口过程中要考虑的到的点。
http远程接口调用-httpClient+跳过SSL证书校验
08-04
本文将详细介绍如何使用Apache HttpClient库进行HTTP远程接口调用,并讲解如何在Java中跳过SSL证书校验。 HttpClient是Apache提供的一款强大的HTTP客户端库,支持多种HTTP协议版本和功能,包括GET、POST请求、...
公司内部调用第三方的大模型接口有安全问题
04-04
好的,我需要回答用户关于公司内部调用第三方大模型接口是否存在安全风险的问题。首先,用户的问题涉及到API调用的安全性,这可能包括数据隐私、传输安全、访问控制等方面。 首先,我得考虑第三方大模型接口的常见...
java调用https接口的两种方式及完整代码.zip
最新发布
05-07
无论是禁用还是启用SSL证书验证,在Java中处理HTTPS接口时,都需要使用HttpsURLConnection类或者第三方库(如Apache HttpClient、OkHttp等)来建立安全的连接。对于开发者来说,合理选择验证方式并正确配置SSL证书是...
C# 调用 Https协议web的服务 ssl证书(客户端需要证书
weixin_30847939的博客
03-21 882
public class restop { private string url = ""; public string Url { get { return url; } set { url = value; } } private st...
java https证书验证码_java 请求https接口 证书验证
weixin_31681589的博客
02-13 821
java ssl 证书验证有两种方式:1是将证书导入到java安全证书库中;2是将证书通过keytool导出一个密钥文件,然后通过代码加载该文件进行验证。第1种方式导入证书后,请求https时就直接报错:javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternati...
基于口令和证书认证(TrueLicense)的接口调用工具库的封装设计 By 嗡汤圆
weixin_33802505的博客
09-07 413
2019独角兽企业重金招聘Python工程师标准>>> ...
通过curl调用接口,因证书问题调用失败的解办法
懵懂听风雨
09-30 1970
调用代码 $url = 'http://www.baidu.com'; $ch = curl_init(); curl_setopt($ch, CURLOPT_URL, $url); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $res = curl_exec($ch); curl_close($ch);
【Android】支持https接口调用的简单证书校验
创艺未来
07-14 2179
做X509的证书验证,线下环境不做校验,线上环境仅仅做单向的hostname校验。完善的校验应该包括客户端和服务端的证书校验。 package com.xxx.utils;import java.security.KeyManagementException; import java.security.NoSuchAlgorithmException; import java.security.Se
OAuth2认证流程
qq_41860765的博客
03-05 3964
Spring Security支持OAuth2认证,OAuth2提供授权码模式、密码模式、简化模式、客户端模式等四种授权模式,前边举的微信扫码登录的例子就是基于授权码模式,这四种模式中授权码模式和密码模式应用较多,本实例使用Spring Security演示授权码模式、密码模式,其余两种请自行查阅相关资料。答案是否定的,服务提供商会给批准接入的客户端一个身份,用于接入时的凭据,有客户端标识和客户端秘钥,在这里配置批准接入的客户端的详细信息。
linux 服务器中(jdk1.8以下)请求HTTPS接口,需要证书的解决方法(安装证书
水军独立团的博客
07-11 3991
第一步:首先获取HTTPS网站的证书------ 打开浏览器输入https://的网站,如果没有相关证书,可以根据提示从浏览器中下载下来,一般保存为*.cer文件。 第二步:将步骤一的*.cer文件拷贝到'%JAVA_HOME%\jre\lib\security\cacerts'路径下 第三步:配置环境变量 vi /etc/profile i插入 添加以下三句export到文件最...
java 验证客户端证书_Java:如何添加SSL客户端身份验证
weixin_39747615的博客
02-16 503
我有这个代码来连接服务器与客户端使用SSL,现在我要添加客户端身份验证:(我有一个服务器密钥库(JCEKS类型)和客户端密钥库(JKS类型),服务器使用一个信任库(cacerts),其中我导入了两个证书,因为我也想使用这个信任库进行客户端身份验证)客户端代码:System.setProperty("javax.net.ssl.trustStore",cerServer);System.setPro...
java口令认证_基于口令和证书认证(TrueLicense)的接口调用工具库的封装设计 By 嗡汤圆...
weixin_29790285的博客
02-23 501
安全性用户名、口令认证用户名、口令泄露,没有证书也无法完成认证用户名、口令与证书绑定,用户、证书与硬件MAC地址绑定。用户名、口令、证书均泄露后,若硬件MAC地址不在认证范围,则仍无法使用服务。用户名、口令、证书泄露,盗用者通过解密获取MAC地址并伪造后,服务端仍可以通过修改配置实时变更认证MAC地址,甚至使证书失效。需求&优点需求接口使用者无需知道接口地址和传输实现,仅需知道传入参数和传...
如何调用第三方平台接口
03-29
<think>嗯,用户之前问了关于ThingsBoard如何调用接口,现在又问如何调用第三方平台接口。看来他们可能是在做系统集成,需要与不同的外部服务交互。首先,我需要确定用户对第三方接口调用的了解程度。他们可能已经熟悉了ThingsBoard的API,但需要扩展到其他平台。 接下来,用户可能需要了解通用的步骤,而不仅仅是特定平台的例子。之前回答中提到了REST和MQTT,但第三方接口可能有更多类型,比如SOAP、GraphQL等。需要涵盖常见的接口类型,但也要保持简洁,避免信息过载。 还要考虑用户的实际应用场景。他们可能是开发者,需要技术细节,比如认证方式、请求方法、数据处理等。同时,用户可能关心错误处理和调试,这在调用外部API时非常重要。 需要分步骤讲解,保持结构清晰。可能包括准备工作、通用步骤、常见接口类型、注意事项和工具推荐。注意要使用中文,并且按照之前的格式,比如代码块用反引号,数学公式用$符号,但这里可能用不上数学公式。 另外,用户之前的问题得到的是ThingsBoard的具体示例,现在需要更通用的指导。所以例子部分可以举几个常见的第三方服务,比如微信支付、阿里云短信,这样用户更容易理解。 还要注意安全性和异常处理,比如重试机制、日志记录,这些都是实际开发中容易遇到的问题。工具推荐部分可以提到Postman、curl、Swagger等,帮助用户调试和测试。 最后,确保回答符合系统级指令,比如使用正确的LaTeX格式,结构清晰,分点说明。可能需要检查是否有技术术语需要进一步解释,但用户之前的问题显示他们有一定技术背景,所以保持适当深度即可。</think>调用第三方平台接口的通用方法及核心步骤可归纳如下(以RESTful API为例): 一、准备工作阶段 1. **接口文档研读** - 获取并仔细阅读目标平台的API文档 - 重点关注:$认证方式$、$请求方法$、$参数格式$、$返回数据结构$、$频率限制$ 2. **身份认证准备** | 认证类型 | 典型应用场景 | 示例参数格式 | |----------------|------------------------|--------------------------------| | API Key | 简单场景 | `?api_key=xxxxxx` | | OAuth 2.0 | 需要用户授权的场景 | `Authorization: Bearer xxxxxx` | | HMAC签名 | 金融类高安全场景 | 时间戳+签名算法加密 | 二、通用调用流程 ```mermaid graph TD A[构造请求参数] --> B[添加认证信息] B --> C[发送HTTP请求] C --> D{状态码判断} D -->|200| E[解析响应数据] D -->|40X| F[检查认证/参数] D -->|50X| G[重试机制触发] ``` 三、典型接口调用示例 1. **HTTP GET请求(带参数)** ```python import requests params = {'page': 1, 'size': 20} headers = {'Authorization': f'Bearer {access_token}'} response = requests.get('https://api.example.com/data', params=params, headers=headers) print(response.json()) ``` 2. **HTTP POST请求(JSON数据)** ```javascript fetch('https://api.example.com/submit', { method: 'POST', headers: { 'Content-Type': 'application/json', 'X-API-Key': 'your_api_key' }, body: JSON.stringify({ orderId: '20230815001', amount: 99.9 }) }) .then(response => response.json()) .then(data => console.log(data)); ``` 四、关键注意事项 1. **安全规范** - 敏感参数必须加密传输(使用HTTPS) - 遵循最小权限原则,如:$\text{scope}=\text{read\_only}$ - 密钥类信息禁止硬编码在代码中 2. **异常处理** - 实现指数退避重试机制:$delay = base \times 2^{attempt}$ - 记录完整请求日志(建议包含:timestamp, endpoint, params, response) - 设置熔断机制阈值:如$\text{错误率} > 60\%$时暂停调用 五、常用调试工具 1. **开发阶段** - Postman:可视化接口测试 - curl命令:快速验证接口连通性 ```bash curl -X POST -H "Content-Type: application/json" -d '{"test":1}' https://api.example.com ``` 2. **生产监控** - Prometheus + Grafana:接口性能监控 - ELK Stack:日志分析 六、典型场景示例 1. **微信支付接口** - 需处理XML数据格式 - 强制使用双向证书 - 签名算法:$\text{MD5}(\text{参数排序拼接}+\text{API密钥})$ 2. **阿里云短信接口** - 使用SDK简化调用 - 特殊编码要求:`SignatureNonce`需唯一 - 模板变量格式:`{"code":"1234"}` 实际开发建议: 1. 使用接口网关统一管理第三方调用 2. 对响应数据做标准化处理:`{code: 200, data: {}, msg: ''}` 3. 配置超时控制:建议$\text{connect\_timeout} < 3s, \text{read\_timeout} < 10s$
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值