我正在查看包 java.nio.channels 的类,但只找到普通的套接字实现。我可以使用 SSLEngine 来加密和解密流量,但这将是相当多的处理。有人知道在内部处理加密的 SocketChannel 的正确实现/扩展吗?
【问题讨论】:
标签: java ssl nio jsse socketchannel
可以在下面的 git repo 中找到一个非常好的 sslEngine 示例: https://github.com/jesperdj/sslclient/blob/master/src/main/java/com/jesperdj/sslclient/SSLSocketChannel.java
【讨论】:
根本问题是您无法在没有选择器线程的情况下在 NBIO 套接字上内部实现 SSLEngine,因为当您的代码不读取或写入时,SSLEngine 可能必须读取/写入数据。如果以这种方式实现,性能将非常糟糕。
【讨论】:
我见过的最简单的实现是alkarn SSL Engine Example。这可能就是你要找的。这是 SSLEngine 的实际实现,总共只有 3 个类。你可以复制它并运行。
为了方便,我将他的一些文档页面粘贴在这里:
服务器:
NioSslServer server = new NioSslServer("TLSv1.2", "localhost", 9222);
server.start();
客户
NioSslClient client = new NioSslClient("TLSv1.2", "localhost", 9222);
client.connect();
您可能想知道为什么没有内置这样的东西。好吧,我对这个特定领域不是很熟悉,但我知道 JSSE 参考指南中有以下内容:
API 的新手可能想知道“为什么不使用扩展 java.nio.channels.SocketChannel 的 SSLSocketChannel?”那里 有两个主要原因:
- 有很多非常困难的问题,关于什么是 SSLSocketChannel 应该是,包括它的类层次结构以及它是如何实现的 应该与选择器和其他类型的 SocketChannel 互操作。 每个提案提出的问题多于答案。有人指出 任何新的 API 抽象扩展为与 SSL/TLS 一起使用都会 需要同样重要的分析,并可能导致大而 复杂的 API。
- 新 API 的任何 JSSE 实现都可以免费 选择“最佳” I/O 和计算策略,但隐藏其中任何一个 细节对于那些需要完全控制的应用程序是不合适的。 任何特定的实现都不适合某些人 应用部分。
我相信这里的目标是让开发人员完全控制实现,以免包无法使用。
SSLEngine 的替代品
你也可以使用 Jetty 或类似的东西:
曾经有一个叫做“SslSelectChannelConnector”的东西,它可能会根据您的环境中可用的内容而起作用。 但是,“SslSelectChannelConnector”已经被弃用了(我认为是从第 9 版开始)?
替换为org.eclipse.jetty.server.SslConnectionFactory
您可以在此处查看完整文档:Jetty Docs 9.4.7.v20170914
这里是一个使用 SslConnectionFactory 的例子:Eclipse Github Example
您可能会发现这种“嵌入式码头”方法也很有趣:Embedded Jetty Example
【讨论】: