feign调用跳过HTTPS的SSL证书校验配置详解

sunnyday04262025-01-23 18:24

一、问题抛出

如果不配置跳过SSL证书校验,当Feign客户端尝试连接到一个使用自签名证书的服务器时,可能会抛出类似以下的异常:

java 复制代码 
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

二、原因分析

如果不添加跳过SSL证书校验的配置,Feign客户端在调用HTTPS服务时会严格验证服务器的SSL证书。这种行为是默认且推荐的做法,因为它可以确保通信的安全性和完整性。以下是如果不添加该配置的具体影响:

2.1 证书验证

默认行为:Feign客户端会使用系统的默认TrustManager来验证服务器的SSL证书。

验证内容:

证书有效性:检查证书是否由受信任的证书颁发机构(CA)签发。

证书过期:确保证书在有效期内。

证书链:验证证书链的完整性。

主机名匹配:确保证书中的主机名与请求的主机名匹配。

目的:验证服务器的身份,确保客户端连接的是正确的服务器。

过程:

客户端请求服务器的证书。

服务器返回证书。

客户端验证证书的有效性,包括证书是否由受信任的CA签发、证书是否过期等。

如果验证通过,客户端和服务器使用证书中的公钥进行密钥交换,建立安全的通信通道。

2.2 影响

安全性增强:确保数据传输的安全性和完整性,防止中间人攻击。

潜在问题:

自签名证书:如果服务器使用自签名证书或内部CA签发的证书,客户端会拒绝连接,除非这些证书被显式信任。

证书过期或无效:如果证书过期或无效,客户端会拒绝连接。

主机名不匹配:如果证书中的主机名与请求的主机名不匹配,客户端会拒绝连接。

三、解决方法-跳过SSL证书校验

风险:跳过SSL证书校验会使得中间人攻击成为可能,攻击者可以拦截并篡改数据。

适用场景:仅在开发和测试环境中使用,生产环境中应严格配置和验证SSL证书。

实现方法:

创建一个自定义的TrustManager,忽略证书校验。

配置自定义的SSLSocketFactoryHostnameVerifier

四、代码配置,跳过SSL证书校验

java 复制代码 
@Slf4j
@Configuration
public class FeignClientConfig {

    @Bean
    public Logger.Level feignLogLevel() {
        return Logger.Level.FULL;
    }

    @Bean
    public CachingSpringLoadBalancerFactory cachingFactory(SpringClientFactory clientFactory) {
        return new CachingSpringLoadBalancerFactory(clientFactory);
    }

    @Bean
    @ConditionalOnMissingBean
    public Client feignClient(CachingSpringLoadBalancerFactory cachingFactory,
                              SpringClientFactory clientFactory) throws NoSuchAlgorithmException, KeyManagementException {
        SSLContext ctx = SSLContext.getInstance("SSL");
        X509TrustManager tm = new X509TrustManager() {
            @Override
            public void checkClientTrusted(X509Certificate[] chain, String authType) {
            }

            @Override
            public void checkServerTrusted(X509Certificate[] chain, String authType) {
            }

            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return new X509Certificate[0];
            }
        };
        ctx.init(null, new TrustManager[]{tm}, null);
        return new LoadBalancerFeignClient(new Client.Default(ctx.getSocketFactory(),
                HttpsURLConnection.getDefaultHostnameVerifier()),
                cachingFactory, clientFactory);
    }
}

五、总结

不添加跳过SSL证书校验的配置可以显著提高安全性,但可能会导致连接失败,特别是在使用自签名证书或内部CA证书的情况下。因此,建议在生产环境中正确配置和验证SSL证书,而在开发和测试环境中可以考虑使用跳过SSL证书校验的配置,但应谨慎使用。

相关推荐
盐水冰1 分钟前
【烘焙坊项目】后端搭建(13)- 数据统计--图形报表
java·后端·学习·spring
tzy2332 分钟前
HTTPS 认证过程
网络协议·http·https
野犬寒鸦3 分钟前
从零起步学习计算机操作系统:I/O篇
服务器·开发语言·网络·后端·面试
易雪寒3 分钟前
Java List 根据List中对象的属性值是否相同作为同一组,分割成多个连续的子List
java·数据结构·list·分组切割
小王不爱笑1327 分钟前
Kubernetes(K8s)核心知识点
java
桑榆肖物11 分钟前
.NET 10 Native AOT 在 Linux 嵌入式设备上的实战
java·linux·.net·aot
墨着染霜华14 分钟前
Java实战:封装Redis非阻塞分布式锁,彻底解决表单重复提交主键冲突
java·redis·分布式
跨境海王哥17 分钟前
怎么检查一个IP是否干净?IP质量分数检测及如何判断风险?
网络·网络协议·tcp/ip
启山智软18 分钟前
【使用 Java(JSP)实现的简单商城页面前端示例】
java·前端·商城开发
nainaire21 分钟前
仿muduo库的Tcp服务器以及其应用层Http协议支持
服务器·网络·c++·tcp/ip·http
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03OpenClaw 使用和管理 MCP 完全指南04UV安装并设置国内源05AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南06小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)07OpenClaw Control UI安全上下文访问配置08Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services09OpenClaw macOS 完整安装与本地模型配置教程(实战版)10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南