在 Jetty 服务器中,如何获取需要客户端身份验证时使用的客户端证书?

2022-09-02 12:51:59

设置一个请求客户端身份验证的嵌入式Jetty服务器非常容易:只需要添加SslContextFactory.setNeedClientAuth(true)语句;到配置服务器时的 ssl 上下文。任何在服务器的信任库中具有其证书的客户机都能够与服务器建立 TLS 连接。

但是,我需要知道所有可能的受信任客户端的哪个客户端当前正在发出请求;换句话说,我需要知道此连接中使用的客户端证书,特别是在处理程序中。有没有人知道如何访问此证书,或者是否可能?


答案 1

2019 年 8 月更新:适用于 Jetty 9.4.20.v20190813 版本。

证书由 HttpConfiguration Customizer 添加到 Request 对象(如 HttpServletRequest)。

具体来说,SecureRequestCustomizer

您使用它的代码将如下所示(向下滚动)...

Server server = new Server();

// === HTTP Configuration ===
HttpConfiguration http_config = new HttpConfiguration();
http_config.setSecureScheme("https");
http_config.setSecurePort(8443);
http_config.setOutputBufferSize(32768);
http_config.setRequestHeaderSize(8192);
http_config.setResponseHeaderSize(8192);
http_config.setSendServerVersion(true);
http_config.setSendDateHeader(false);

// === Add HTTP Connector ===
ServerConnector http = new ServerConnector(server,
    new HttpConnectionFactory(http_config));
http.setPort(8080);
http.setIdleTimeout(30000);
server.addConnector(http);

// === Configure SSL KeyStore, TrustStore, and Ciphers ===
SslContextFactory sslContextFactory = new SslContextFactory.Server();
sslContextFactory.setKeyStorePath("/path/to/keystore");
sslContextFactory.setKeyStorePassword("changeme");
sslContextFactory.setKeyManagerPassword("changeme");
sslContextFactory.setTrustStorePath("/path/to/truststore");
sslContextFactory.setTrustStorePassword("changeme");
// OPTIONAL - for client certificate auth (both are not needed)
// sslContextFactory.getWantClientAuth(true)
// sslContextFactory.setNeedClientAuth(true)

// === SSL HTTP Configuration ===
HttpConfiguration https_config = new HttpConfiguration(http_config);
https_config.addCustomizer(new SecureRequestCustomizer()); // <-- HERE

// == Add SSL Connector ===
ServerConnector sslConnector = new ServerConnector(server,
    new SslConnectionFactory(sslContextFactory,"http/1.1"),
    new HttpConnectionFactory(https_config));
sslConnector.setPort(8443);
server.addConnector(sslConnector);

使用此 SecureRequestCustomizer,您可以使用以下属性名称从调用中访问有关 SSL 连接的各个部分。HttpServletRequest.getAttribute(String)

javax.servlet.request.X509Certificate

java.security.cert.X509Certificate 的数组[]

javax.servlet.request.cipher_suite

密码套件的字符串名称。(与从 javax.net.ssl.SSLSession.getCipherSuite() 返回的内容相同)

javax.servlet.request.key_size

正在使用的密钥长度的整数

javax.servlet.request.ssl_session_id

活动 SSL 会话 ID 的字符串表示形式(十六进制)


答案 2

有一个标准的 servlet 请求属性:javax.servlet.request.X509Certificate

它返回 X509Certificates 的数组。

我们用它来获取名称并从证书中查找 DN:

x509Cert[0].getSubjectX500Principal().getName()

推荐