有时需要允许不安全的 HTTPS 连接,例如在一些应与任何站点一起工作的网络爬取应用程序中。我在旧的 HttpsURLConnection API 中使用了一个这样的解决方案,该 API 最近被 JDK 11 中的新 HttpClient API取代。使用这个新 API允许不安全的 HTTPS 连接(自签名或过期证书)的方法是什么?
UPD:我尝试过的代码(在 Kotlin 中,但直接映射到 Java):
val trustAllCerts = arrayOf<TrustManager>(object: X509TrustManager {
override fun getAcceptedIssuers(): Array<X509Certificate>? = null
override fun checkClientTrusted(certs: Array<X509Certificate>, authType: String) {}
override fun checkServerTrusted(certs: Array<X509Certificate>, authType: String) {}
})
val sslContext = SSLContext.getInstance("SSL")
sslContext.init(null, trustAllCerts, SecureRandom())
val sslParams = SSLParameters()
// This should prevent host validation
sslParams.endpointIdentificationAlgorithm = ""
httpClient = HttpClient.newBuilder()
.sslContext(sslContext)
.sslParameters(sslParams)
.build()
但是在发送时我有异常(尝试使用自签名证书在本地主机上):
java.io.IOException: No name matching localhost found
使用 IP 地址而不是 localhost 会出现“不存在主题替代名称”异常。
在对 JDK 进行了一些调试之后,我发现sslParams
在抛出异常的地方确实被忽略了,并且使用了一些本地创建的实例。进一步调试显示,影响主机名验证算法的唯一方法是将jdk.internal.httpclient.disableHostnameVerification
系统属性设置为 true。这似乎是一个解决方案。SSLParameters
在上面的代码中没有任何效果,所以这部分可以被丢弃。使其仅在全局范围内可配置看起来像是新 HttpClient API 中的严重设计缺陷。