我有一个运行 HTTP 和 HTTPS 的 HTTP 服务器,使用 Javas NIO 和 SSL 库编写。在 HTTPS 模式下,它可以使用或不使用客户端证书进行通信。但是,我想重新协商。在这里,客户端将使用 HTTPS 连接,浏览资源,然后当它们遇到高度安全的资源时,服务器会向客户端质询其证书。我遇到了一些问题,需要知道工作流程应该是什么。这是我在 IE 9 和 Chrome 中观察到的。
1)当客户端请求安全资源时,我完整响应HTTP请求。然后,我在完成后向客户挑战他们的证书
engine.setNeedClientAuth(true);
engine.beginHandshake();
结果是来自客户端的 TCP FIN(它关闭了其一侧的连接),并且重新协商失败。
2)当客户端请求安全资源时,我在响应之前挑战证书。在这种情况下发生交换,两个浏览器都会弹出一个证书请求,但是一旦弹出提示,就会从客户端发送 TCP FIN 并终止重新协商。然后客户端发送另一个最终具有证书的请求,有时我必须挑战两次。
所以我的问题是,应该发生什么?最初的浏览器连接应该保持打开状态,还是像这样正常终止?
注意:这里另一个非常有趣的观察是,在场景 2 中,当浏览器关闭 TCP 连接时,它会在您选择证书后重新连接。但是它不会重新发布请求,它只是坐在那里并期望服务器响应?在 NIO 术语中,它等待 OP_READ,这意味着套接字输入缓冲区上没有数据。浏览器是否期望对终止连接的原始消息做出响应?
奇怪的是,这个工作流程绝对没有文档或规范,但对于我测试过的所有浏览器,它们似乎都遵循这个工作流程。