如何通过HTTPS方式访问webservice

Posted 2023-05-05

参考技术A 　web service在企业应用中常常被用作不同系统之间的接口方式。但是如果没有任何安全机制的话，显然是难以委以重任的。比较直接的web service加密方式就是使用HTTPS方式(SSL证书加密)加密连接，并且只允许持有信任证书的客户端连接，即SSL双向认证。这样就保证了连接来源的可信度以及数据在传输过程中没有被窃取或篡改。通过HTTPS加密方式访问web service具体方法如下：
　　【准备工作】
　　(1)检查JDK的环境变量是否正确。本文使用JDK 1.6
　　(2)准备web服务器，这里选用TOMCAT 6.0
　　(3)准备web service服务端和客户端。
　　【生成证书】
　　这里用到的文件，这里存放在D:/SSL/文件夹内，其中D:/SSL/server/内的文件是要交给服务器用的，D:/SSL/client/内的文件是要交给客户端用的。
　　1生成服务端证书
　　开始-运行-CMD-在dos窗口执行下执行命令：
　　keytool -genkey -v -aliastomcat -keyalg RSA -keystore D:/SSL/server/tomcat.keystore -dname"CN=127.0.0.1,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" -validity 3650-storepass zljzlj -keypass zljzlj
　　说明：
　　keytool 是JDK提供的证书生成工具，所有参数的用法参见keytool –help
　　-genkey 创建新证书
　　-v 详细信息
　　-alias tomcat 以”tomcat”作为该证书的别名。这里可以根据需要修改
　　-keyalg RSA 指定算法
　　-keystoreD:/SSL/server/tomcat.keystore 保存路径及文件名
　　-dname"CN=127.0.0.1,OU=zlj,O=zlj,L=Peking,ST=Peking,C=CN" 证书发行者身份，这里的CN要与发布后的访问域名一致。但由于这里是自签证书，如果在浏览器访问，仍然会有警告提示。真正场景中建议申请CA机构(wosign)签发的SSL证书更安全。
　　-validity 3650证书有效期，单位为天
　　-storepass zljzlj 证书的存取密码
　　-keypass zljzlj 证书的私钥
　　2 生成客户端证书
　　执行命令：
　　keytool ‐genkey ‐v ‐aliasclient ‐keyalg RSA ‐storetype PKCS12 ‐keystore D:/SSL/client/client.p12 ‐dname"CN=client,OU=zlj,O=zlj,L=bj,ST=bj,C=CN" ‐validity 3650 ‐storepassclient ‐keypass client
　　说明：
　　参数说明同上。这里的-dname 证书发行者身份可以和前面不同，到目前为止，这2个证书可以没有任何关系。下面要做的工作才是建立2者之间的信任关系。
　　3 导出客户端证书
　　执行命令：
　　keytool ‐export ‐aliasclient ‐keystore D:/SSL/client/client.p12 ‐storetype PKCS12 ‐storepass client‐rfc ‐file D:/SSL/client/client.cer
　　说明：
　　-export 执行导出
　　-file 导出文件的文件路径
　　4 把客户端证书加入服务端证书信任列表
　　执行命令：
　　keytool ‐import ‐aliasclient ‐v ‐file D:/SSL/client/client.cer ‐keystoreD:/SSL/server/tomcat.keystore ‐storepass zljzl
　　说明：
　　参数说明同前。这里提供的密码是服务端证书的存取密码。
　　5 导出服务端证书
　　执行命令：
　　keytool -export -aliastomcat -keystore D:/SSL/server/tomcat.keystore -storepass zljzlj -rfc -fileD:/SSL/server/tomcat.cer
　　说明：
　　把服务端证书导出。这里提供的密码也是服务端证书的密码。
　　6 生成客户端信任列表
　　执行命令：
　　keytool -import -fileD:/SSL/server/tomcat.cer -storepass zljzlj -keystoreD:/SSL/client/client.truststore -alias tomcat –noprompt
　　说明：
　　让客户端信任服务端证书
　　【 配置服务端为只允许HTTPS连接】
　　1 配置Tomcat 目录下的/conf/server.xml
　　Xml代码：
　　<Connectorport="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"clientAuth="true"
sslProtocol="TLS"keystoreFile="D:/SSL/server/tomcat.keystore"
keystorePass="zljzlj"truststoreFile="D:/SSL/server/tomcat.keystore"
truststorePass="zljzlj" />
　　说明：
　　在server.xml里面这段内容本来是被注释掉的，如果想使用https的默认端口443，请修改这里的port参数。其中的clientAuth="true" 指定了双向证书认证。

如何限制用户仅通过HTTPS方式访问OSS？

一、当前存在的问题
当前OSS支持用户使用HTTPS/HTTP协议访问Bucket。但由于HTTP存在安全漏洞。大型企业客户都要求使用HTTPS方式访问OSS，并且拒绝HTTP访问请求。

目前OSS可以通过RAM policy方式实现：限制某个用户、角色拒绝通过HTTP协议访问指定的Bucket和对象。但是RAM Policy是一种基于用户的授权方式，无法针对资源进行授权。也就是说无法针对Bucket或者对象级别，拒绝所有用户的HTTP请求。目前我们正在基于Bucket Policy开发该功能，后续用户可以直接通过Bucket Policy设置HTTPS访问策略。

二、通过RAM Policy实现“限制用户仅通过HTTPS方式访问OSS”
阿里云RAM Policy有丰富的Condition参数，可以限制对资源的访问。这里我们利用"Secure Transport"条件参数生成RAM Policy，以实现拒绝指定的用户通过HTTP方式访问Bucket。

Condition 功能 合法取值
acs:SecureTransport 是否是https协议 “true”或者”false”
2.1RAM Policy示例
为了简化配置，我们事先给账号赋予“AliyunOSSFullAccess”，然后模拟拒绝一切通过HTTP的请求。
添加“拒绝HTTP访问请求”RAM Policy。具体RAM Policy内容如下：
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"oss:"
],
"Resource": [
"acs:oss:::"
],
"Condition": {
"Bool": {
"acs:SecureTransport": [
"false"
]
}
}
}
]
}
说明：：如上Policy能够拒绝该用户通过HTTP方式访问OSS资源；

2.2用户通过HTTPS方式访问OSS进行测试
说明：

我们以Python SDK上传文件方式进行举例说明；
如下我们在脚本中指定访问路径为"https://oss-cn-beijing.aliyunc.com" ;
2.2.1通过HTTPS方式上传文件
python脚本示例如下：

-- coding: utf-8 --

import oss2

阿里云主账号AccessKey拥有所有API的访问权限，风险很高。强烈建议您创建并使用RAM账号进行API访问或日常运维，请登录 https://ram.console.aliyun.com 创建RAM账号。

auth = oss2.Auth(‘<yourAccessKeyId>‘, ‘<yourAccessKeySecret>‘)

Endpoint以杭州为例，其它Region请按实际情况填写。

bucket = oss2.Bucket(auth, ‘https://oss-cn-beijing.aliyuncs.com‘, ‘test-beijing-2018‘)

<yourLocalFile>由本地文件路径加文件名包括后缀组成，例如/users/local/myfile.txt

bucket.put_object_from_file(‘02.txt‘, ‘002.txt‘)
执行结果如下：
[email protected]:~/figo# python putobject.py
2019-01-10 20:55:37,003 oss2.api [INFO] 140496922879744 : Init oss bucket, endpoint: https://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True
2019-01-10 20:55:37,008 oss2.api [INFO] 140496922879744 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt
2019-01-10 20:55:37,009 oss2.api [INFO] 140496922879744 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {‘Content-Type‘: ‘text/plain‘}
2019-01-10 20:55:37,212 oss2.api [INFO] 140496922879744 : Put object done, req_id: 5C3740C952FF5BAFB298BDDA, status_code: 200
说明：如上执行结果，表明文件已经上传成功；

2.2.2通过HTTP方式上传文件
说明：如下我们在脚本中指定访问路径为“http://oss-cn-beijing.aliyuncs.com”

python脚本示例如下：

-- coding: utf-8 --

import oss2

阿里云主账号AccessKey拥有所有API的访问权限，风险很高。强烈建议您创建并使用RAM账号进行API访问或日常运维，请登录 https://ram.console.aliyun.com 创建RAM账号。

auth = oss2.Auth(‘<yourAccessKeyId>‘, ‘<yourAccessKeySecret>‘)

Endpoint以杭州为例，其它Region请按实际情况填写。

bucket = oss2.Bucket(auth, ‘http://oss-cn-beijing.aliyuncs.com‘, ‘test-beijing-2018‘)

<yourLocalFile>由本地文件路径加文件名包括后缀组成，例如/users/local/myfile.txt

bucket.put_object_from_file(‘02.txt‘, ‘002.txt‘)
执行结果如下：
[email protected]:~/figo# python putobject.py
2019-01-10 21:14:37,499 oss2.api [INFO] 140697781880576 : Init oss bucket, endpoint: http://oss-cn-beijing.aliyuncs.com, isCname: False, connect_timeout: None, app_name: , enabled_crc: True
2019-01-10 21:14:37,501 oss2.api [INFO] 140697781880576 : Put object from file, bucket: test-beijing-2018, key: 02.txt, file path: 002.txt
2019-01-10 21:14:37,503 oss2.api [INFO] 140697781880576 : Start to put object, bucket: test-beijing-2018, key: 02.txt, headers: {‘Content-Type‘: ‘text/plain‘}
2019-01-10 21:14:37,585 oss2.api [ERROR] 140697781880576 : Exception: {‘status‘: 403, ‘x-oss-request-id‘: ‘5C37453DDF97EBEDF4BDA095‘, ‘details‘: {‘HostId‘: ‘test-beijing-2018.oss-cn-beijing.aliyuncs.com‘, ‘Message‘: ‘You have no right to access this object because of bucket acl.‘, ‘Code‘: ‘AccessDenied‘, ‘RequestId‘: ‘5C37453DDF97EBEDF4BDA095‘}}
Traceback (most recent call last):
File "putobject.py", line 10, in <module>
bucket.put_object_from_file(‘02.txt‘, ‘002.txt‘)
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 481, in put_object_from_file
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 453, in put_object
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 1579, in __do_object
File "build/bdist.linux-x86_64/egg/oss2/api.py", line 210, in _do
oss2.exceptions.AccessDenied: {‘status‘: 403, ‘x-oss-request-id‘: ‘5C37453DDF97EBEDF4BDA095‘, ‘details‘: {‘HostId‘: ‘test-beijing-2018.oss-cn-beijing.aliyuncs.com‘, ‘Message‘: ‘You have no right to access this object because of bucket acl.‘, ‘Code‘: ‘AccessDenied‘, ‘RequestId‘: ‘5C37453DDF97EBEDF4BDA095‘}}
说明：

当我们将上传endpoint设置为"http://oss-cn-beijing.aliyuncs.com" 时，上传文件失败。说明RAM Policy已经生效；
目前RAM Policy仅能限制指定的用户通过HTTPS方式访问。下一步OSS将在Bucket Policy中设置"Secure Transport"参数,以实现限制所有用户通过HTTP方式访问指定的Bucket和对象；