Добро пожаловать в stackoverflow.
Если у вас установлен SslContextFactory.setNeedClientAuth(true), это означает, что вы устанавливаете уровень Java javax.net.ssl.SSLParameters.setNeedClientAuth(true).
Это влияет на согласование TLS / SSL на уровне Java новых подключений и заставляет их требовать действительный сертификат клиента.
Если это не удается, соединение разрывается самой Java на уровне подтверждения TLS / SSL, и клиент даже не отправляет HTTP-запрос, и Jetty не участвует в этом определении.
Как вы, несомненно, уже заметили, соединение, которое не прошло проверку подлинности клиента уровня TLS / SSL, не обрабатывается в SecureRequestCustomizer.
Если вы хотите, чтобы успешные и неудачные клиенты прошли уровень подтверждения TLS / SSL и достигли ваших различных обработчиков HTTP, вам придется отключить параметр SslContextFactory.setNeedClientAuth(true). Но это означает, что нет аутентификации сертификата клиента, выполняемой уровнями TLS / SSL Java JVM, и теперь вы можете выполнить те же проверки в своем собственном коде. Это не сработает.
Итак, у вас есть выбор ...
setNeedClientAuth(true) - Соединение аутентифицировано, разрывается, если сертификат клиента не прошел. Клиент не создает HTTP-запросов.setNeedClientAuth(false) - Все соединения проходят успешно, аутентификация не выполняется, что приводит к появлению HTTP-запросов, которые затем можно обрабатывать.
Если вам нужен пункт 1, но пункт 2 не подходит, подумайте об использовании org.eclipse.jetty.io.ssl.SslHandshakeListener и просто обратите внимание на результаты успеха / неудачи.
Создайте свою собственную реализацию этого прослушивателя и добавьте его как bean-компонент в ваши серверные коннекторы. Вам будет передан активный javax.net.ssl.SSLEngine для этого источника событий, где вы можете запросить различные подробности, которые вам нужны для неудачного соединения (вы даже можете получить IP-информацию клиента, который попытался установить соединение)
person
Joakim Erdfelt
schedule
17.08.2020
