feign调用跳过HTTPS的SSL证书校验配置过程
更新时间:2025年07月15日 09:34:51 作者:秋分的秋刀鱼
Feign默认验证SSL证书,若服务器使用自签名或内部CA证书会导致连接失败,解决方法是跳过校验,但仅限测试环境,生产环境需严格验证以确保安全
一、问题抛出
如果不配置跳过SSL证书校验,当Feign客户端尝试连接到一个使用自签名证书的服务器时,可能会抛出类似以下的异常:
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
二、原因分析
如果不添加跳过SSL证书校验的配置,Feign客户端在调用HTTPS服务时会严格验证服务器的SSL证书。
这种行为是默认且推荐的做法,因为它可以确保通信的安全性和完整性。
以下是如果不添加该配置的具体影响:
2.1 证书验证
默认行为:Feign客户端会使用系统的默认TrustManager来验证服务器的SSL证书。
验证内容:
- 证书有效性:检查证书是否由受信任的证书颁发机构(CA)签发。
- 证书过期:确保证书在有效期内。
- 证书链:验证证书链的完整性。
- 主机名匹配:确保证书中的主机名与请求的主机名匹配。
- 目的:验证服务器的身份,确保客户端连接的是正确的服务器。
过程:
- 客户端请求服务器的证书。
- 服务器返回证书。
- 客户端验证证书的有效性,包括证书是否由受信任的CA签发、证书是否过期等。
- 如果验证通过,客户端和服务器使用证书中的公钥进行密钥交换,建立安全的通信通道。
2.2 影响
安全性增强:确保数据传输的安全性和完整性,防止中间人攻击。
潜在问题:
- 自签名证书:如果服务器使用自签名证书或内部
CA签发的证书,客户端会拒绝连接,除非这些证书被显式信任。 - 证书过期或无效:如果证书过期或无效,客户端会拒绝连接。
- 主机名不匹配:如果证书中的主机名与请求的主机名不匹配,客户端会拒绝连接。
三、解决方法-跳过SSL证书校验
风险:跳过SSL证书校验会使得中间人攻击成为可能,攻击者可以拦截并篡改数据。
适用场景:仅在开发和测试环境中使用,生产环境中应严格配置和验证SSL证书。
实现方法:
- 创建一个自定义的
TrustManager,忽略证书校验。 - 配置自定义的
SSLSocketFactory和HostnameVerifier。
四、代码配置,跳过SSL证书校验
@Slf4j
@Configuration
public class FeignClientConfig {
@Bean
public Logger.Level feignLogLevel() {
return Logger.Level.FULL;
}
@Bean
public CachingSpringLoadBalancerFactory cachingFactory(SpringClientFactory clientFactory) {
return new CachingSpringLoadBalancerFactory(clientFactory);
}
@Bean
@ConditionalOnMissingBean
public Client feignClient(CachingSpringLoadBalancerFactory cachingFactory,
SpringClientFactory clientFactory) throws NoSuchAlgorithmException, KeyManagementException {
SSLContext ctx = SSLContext.getInstance("SSL");
X509TrustManager tm = new X509TrustManager() {
@Override
public void checkClientTrusted(X509Certificate[] chain, String authType) {
}
@Override
public void checkServerTrusted(X509Certificate[] chain, String authType) {
}
@Override
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}
};
ctx.init(null, new TrustManager[]{tm}, null);
return new LoadBalancerFeignClient(new Client.Default(ctx.getSocketFactory(),
HttpsURLConnection.getDefaultHostnameVerifier()),
cachingFactory, clientFactory);
}
}
五、总结
不添加跳过SSL证书校验的配置可以显著提高安全性,但可能会导致连接失败,特别是在使用自签名证书或内部CA证书的情况下。因此,建议在生产环境中正确配置和验证SSL证书,而在开发和测试环境中可以考虑使用跳过SSL证书校验的配置,但应谨慎使用。
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
这篇文章主要为大家分享了最有价值的两道集合框架的面试题,涵盖内容全面,包括数据结构和算法相关的题目、经典面试编程题等,感兴趣的小伙伴们可以参考一下2021-07-07
Spring Retry的主要目的是为了提高系统的可靠性和容错性,当方法调用失败时,Spring Retry可以在不影响系统性能的情况下,自动进行重试,从而减少故障对系统的影响,这篇文章主要介绍了spring-retry组件的使用,需要的朋友可以参考下2023-06-06
一份排版精良、分页合理的报表,不仅能提升专业度,更能确保信息的有效传达,本文将向大家介绍如何使用 Spire.XLS for Java 在Java中实现Excel分页符的添加与删除,有需要的可以了解下2025-11-11
本文主要介绍了Java数据结构中查找的相关知识。具有很好的参考价值。下面跟着小编一起来看下吧2017-03-03
这篇文章主要介绍了SpringMVC源码解读之HandlerMapping 的相关资料,需要的朋友可以参考下2016-02-02
这篇文章主要为大家详细解析了javaweb上传下载实例,本文重点在于文件下载功能的实现,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-01-01
Java中的Tuple是一种非常有用的数据结构,它可以让开发者在处理多个数据元素时更加方便和高效,通过Tuple,我们可以将多个变量打包成一个对象,从而减少了代码量,提高了代码可读性,这篇文章主要介绍了Java中Tuple的功能及使用场景,需要的朋友可以参考下2024-01-01
SpringBoot项目使用 axis 调用webservice接口的实践记录
这篇文章主要介绍了SpringBoot项目使用 axis 调用webservice接口,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2022-06-06
许多数据文件中可能包含嵌入式图片,这些图片对于数据分析和可视化非常重要,下面我们就来看看如何使用Java读取WPS Excel中嵌入的图片吧2024-11-11
这篇文章主要介绍了java &与&&的区别的相关资料,并附简单实例,帮助大家学习理解这部分知识,需要的朋友可以参考下2016-10-10
最新评论