Module  java.base
软件包  javax.net.ssl

Class SSLSocket

  • All Implemented Interfaces:
    CloseableAutoCloseable 

    public abstract class SSLSocket
extends Socket
    此类扩展了Socket并使用诸如“安全套接字层”(SSL)或IETF“传输层安全”(TLS)协议之类的协议来提供安全套接字。

    这样的套接字是普通流套接字,但是它们在底层网络传输协议(如TCP)上增加了一层安全保护。 这些保护包括:

    • 诚信保障 SSL防止活动的窃听器修改消息。
    • 认证 在大多数模式下,SSL提供对等体认证。 服务器通常被认证,客户端可以根据服务器的要求进行身份验证。
    • 保密(隐私保护) 在大多数模式下,SSL加密客户端和服务器之间发送的数据。 这样可以保护数据的机密性,从而使被动窃听者不会看到诸如财务信息或者个人信息等敏感数据。

    这些类型的保护由“密码套件”指定,“密码套件”是由给定SSL连接使用的加密算法的组合。 在协商过程中,两个端点必须对两个环境中可用的密码同意。 如果没有这样的套件,则不能建立SSL连接,不能交换任何数据。

    所使用的密码套件是通过称为“握手”的协商过程建立的。 此过程的目标是创建或重新加入“会话”,可以保护多个连接。 握手完成后,您可以使用getSession方法访问会话属性。 这种连接的初始握手可以通过以下三种方式之一启动:

    • 调用startHandshake明确地开始握手,或者
    • 任何在此套接字上读取或写入应用程序数据的尝试都会导致隐式握手
    • 如果没有当前有效的会话,则调用getSession尝试设置会话,并进行隐式握手。

    如果由于任何原因握手失败, SSLSocket关闭,不能再进行通信。

    有两组密码套件,您需要知道何时管理密码套件:

    • 支持的密码套件:SSL实现支持的所有套件。 此列表使用getSupportedCipherSuites报告。
    • 启用的密码套件可能少于全套支持的套件。 该组使用setEnabledCipherSuites方法设置,并使用getEnabledCipherSuites方法进行查询。 最初,将在启用最小建议配置的新套接字上启用一组默认密码套件。

    默认情况下,实现默认情况下,默认情况下仅启用验证服务器并提供机密性的密码套件。 只有双方明确同意未经身份验证和/或非私有(未加密)通信,才能选择这样的密码。

    当第一次创建SSLSocket ,不会进行握手,以便应用程序可以首先设置其通信偏好:使用什么密码套件,套接字是否应该处于客户端或服务器模式等。但是,安全性始终是在应用程序数据通过连接发送。

    您可以注册接收握手完成的事件通知。 这涉及到使用两个额外的类。 HandshakeCompletedEvent对象被传递给由此API的用户注册的HandshakeCompletedListener实例。 SSLSocket S被创建SSLSocketFactory S,或通过accept荷兰国际集团从一个连接SSLServerSocket

    SSL套接字必须选择在客户端或服务器模式下运行。 这将决定谁开始握手过程,以及每一方应发送哪些消息。 每个连接必须有一个客户端和一个服务器,否则握手将无法正常进行。 一旦初始握手已经开始,即使执行重新协商,套接字也不能在客户端和服务器模式之间切换。

    从以下版本开始:
    1.4
    另请参见:
    SocketSSLServerSocketSSLSocketFactory

    • 构造方法详细信息

      • SSLSocket

        protected SSLSocket​()
        仅由子类使用。 构造未初始化的未连接的TCP套接字。

      • SSLSocket

        protected SSLSocket​(String host,
                    int port)
             throws IOException,
                    UnknownHostException
        仅由子类使用。 构造到指定端口的命名主机的TCP连接。 这充当SSL客户端。

        如果有一个安全管理器,它的checkConnect方法被调用主机地址和port作为参数。 这可能会导致SecurityException。

        参数
        host - 要与其连接的主机名称,或者是 null的环回地址。
        port - 服务器端口号
        异常
        IOException - 如果在创建套接字时发生I / O错误
        SecurityException - 如果存在安全管理员,并且其 checkConnect方法不允许该操作。
        UnknownHostException - 如果主机不知道
        IllegalArgumentException - 如果端口参数超出了介于0和65535之间的有效端口值的指定范围(包括0和65535之间)。
        另请参见:
        SecurityManager.checkConnect(java.lang.String, int)

      • SSLSocket

        protected SSLSocket​(InetAddress address,
                    int port)
             throws IOException
        仅由子类使用。 构造到指定地址和端口的服务器的TCP连接。 这充当SSL客户端。

        如果有一个安全管理器,它的checkConnect方法被调用主机地址和port作为其参数。 这可能会导致SecurityException。

        参数
        address - 服务器的主机
        port - 其港口
        异常
        IOException - 如果在创建套接字时发生I / O错误
        SecurityException - 如果存在安全管理员,并且其 checkConnect方法不允许该操作。
        IllegalArgumentException - 如果端口参数在有效端口值的指定范围之间,介于0和65535之间(含)。
        NullPointerException - 如果 address为空。
        另请参见:
        SecurityManager.checkConnect(java.lang.String, int)

      • SSLSocket

        protected SSLSocket​(String host,
                    int port,
                    InetAddress clientAddress,
                    int clientPort)
             throws IOException,
                    UnknownHostException
        仅由子类使用。 在指定端口构造与指定主机的SSL连接,将连接的客户端绑定给给定的地址和端口。 这充当SSL客户端。

        如果有一个安全管理器,它的checkConnect方法被调用主机地址和port作为其参数。 这可能会导致SecurityException。

        参数
        host - 用于连接的主机名称,或者为回传地址的 null
        port - 服务器端口号
        clientAddress -客户端的地址的套接字绑定到,或 nullanyLocal地址。
        clientPort - 套接字绑定的客户端端口,或 zero用于系统选择的自由端口。
        异常
        IOException - 如果在创建套接字时发生I / O错误
        SecurityException - 如果存在安全管理员,并且其 checkConnect方法不允许操作。
        UnknownHostException - 如果主机不知道
        IllegalArgumentException - 如果端口参数或clientPort参数超出了介于0和65535之间的有效端口值的指定范围(包括0和65535之间)。
        另请参见:
        SecurityManager.checkConnect(java.lang.String, int)

      • SSLSocket

        protected SSLSocket​(InetAddress address,
                    int port,
                    InetAddress clientAddress,
                    int clientPort)
             throws IOException
        仅由子类使用。 构造到指定地址和TCP端口的服务器的SSL连接,将连接的客户端绑定给定的地址和端口。 这充当SSL客户端。

        如果有一个安全管理器,它的checkConnect方法被调用主机地址和port作为其参数。 这可能会导致SecurityException。

        参数
        address - 服务器的主机
        port - 其港口
        clientAddress -客户端的地址的套接字绑定到,或 nullanyLocal地址。
        clientPort - 套接字绑定的客户端端口,或 zero用于系统选择的自由端口。
        异常
        IOException - 如果在创建套接字时发生I / O错误
        SecurityException - 如果存在安全管理员,并且其 checkConnect方法不允许操作。
        IllegalArgumentException - 如果端口参数或clientPort参数超出了介于0和65535之间的有效端口值的指定范围(包括0和65535之间)。
        NullPointerException - 如果 address为空。
        另请参见:
        SecurityManager.checkConnect(java.lang.String, int)

    • 方法详细信息

      • getSupportedCipherSuites

        public abstract String[] getSupportedCipherSuites​()
        返回可以在此连接上使用的密码套件的名称。 通常,默认情况下实际上只能启用这些子集,因为此列表可能包括不符合这些默认值的服务质量要求的密码套件。 这样的密码套件在专门的应用中可能是有用的。

        返回的数组包括来自Java加密体系结构标准算法名称文档的JSSE Cipher Suite Names部分中标准密码套件名称列表的密码套件,还可能包括提供商支持的其他密码套件。

        结果
        一组加密套件名称
        另请参见:
        getEnabledCipherSuites()setEnabledCipherSuites(String [])

      • getEnabledCipherSuites

        public abstract String[] getEnabledCipherSuites​()
        返回当前启用此SSL连接的SSL密码套件的名称。 当首次创建SSLSocket时,所有启用的密码套件都支持最低服务质量。 因此,在某些环境中,此值可能为空。

        请注意,即使启用套件,也可能永远不会使用。 如果对等体不支持,或者其使用受到限制,或者该套件的必需证书(和私钥)不可用,或者启用匿名套件但需要验证,则可能会发生这种情况。

        返回的数组包括来自Java加密体系结构标准算法名称文档的JSSE Cipher Suite Names部分的标准密码套件名称列表中的密码套件,还可以包括提供商支持的其他密码套件。

        结果
        一组加密套件名称
        另请参见:
        getSupportedCipherSuites()setEnabledCipherSuites(String [])

      • setEnabledCipherSuites

        public abstract void setEnabledCipherSuites​(String[] suites)
        设置启用此连接的密码套件。

        suites参数中的每个密码套件都必须由getSupportedCipherSuites()列出,否则该方法将失败。 成功调用此方法后,只能启用suites参数中列出的suites

        请注意,密码套件名称的标准列表可以在Java加密体系结构标准算法名称文档的JSSE Cipher Suite Names部分找到。 提供者可能会支持此列表中找不到的密码套件名称,也可能不会使用某个密码套件的推荐名称。

        有关为什么在连接上永远不会使用特定密码套件的详细信息,请参阅getEnabledCipherSuites()

        参数
        suites - 要启用的所有密码套件的名称
        异常
        IllegalArgumentException - 当不支持由参数命名的一个或多个密码时,或当参数为空时。
        另请参见:
        getSupportedCipherSuites()getEnabledCipherSuites()

      • getSupportedProtocols

        public abstract String[] getSupportedProtocols​()
        返回可以在SSL连接上使用的协议的名称。
        结果
        支持的一系列协议

      • getEnabledProtocols

        public abstract String[] getEnabledProtocols​()
        返回当前允许在此连接上使用的协议版本的名称。

        请注意,即使启用协议,也可能永远不会使用该协议。 如果对等体不支持协议或者限制使用协议,或协议没有启用密码套件,则可能会发生这种情况。

        结果
        一系列协议
        另请参见:
        setEnabledProtocols(String [])

      • setEnabledProtocols

        public abstract void setEnabledProtocols​(String[] protocols)
        设置允许在此连接上使用的协议版本。

        协议必须由getSupportedProtocols()列为受支持。 成功调用此方法后,仅启用protocols参数中列出的协议才能使用。

        参数
        protocols - 要启用的所有协议的名称。
        异常
        IllegalArgumentException - 当一个或多个由参数命名的协议不受支持或协议参数为null时。
        另请参见:
        getEnabledProtocols()

      • getSession

        public abstract SSLSession getSession​()
        返回此连接正在使用的SSL会话。 这些可以长期存在,并且经常对应于一些用户的整个登录会话。 会话指定了该会话中所有连接正在主动使用的特定加密套件,以及会话的客户端和服务器的身份。

        如果需要,此方法将启动初始握手,然后阻止,直到握手建立。

        如果在初始握手期间发生错误,则此方法返回一个无效的会话对象,该对象报告“SSL_NULL_WITH_NULL_NULL”的无效密码套件。

        结果
        SSLSession

      • getHandshakeSession

        public SSLSession getHandshakeSession​()
        返回在SSL / TLS握手期间构建的SSLSession

        TLS协议可以协商使用此类实例时所需的参数,但在SSLSession已经完全初始化并通过getSession可用之前getSession 例如,有效的签名算法列表可能限制在TrustManager决策期间可以使用的证书的类型,或者可以调整最大TLS片段数据包大小以更好地支持网络环境。

        此方法可以及早访问正在构建的SSLSession 取决于握手进度有多远,有些数据可能尚未被使用。 例如,如果远程服务器将发送一个证书链,但链尚未没有被处理,则getPeerCertificates的方法SSLSession将抛出SSLPeerUnverifiedException。 一旦该链已被处理, getPeerCertificates将返回正确的值。

        getSession()不同,该方法不会启动初始握手,并且在握手完成之前不阻止。

        结果
        如果此实例当前不是握手,或者当前握手尚未进展到足以创建基本SSLSession,则为null。 否则,此方法返回当前正在协商的SSLSession
        异常
        UnsupportedOperationException - 如果底层提供程序未实现该操作。
        从以下版本开始:
        1.7
        另请参见:
        SSLEngineSSLSessionExtendedSSLSessionX509ExtendedKeyManagerX509ExtendedTrustManager

      • startHandshake

        public abstract void startHandshake​()
                             throws IOException
        在此连接上启动SSL握手。 常见的原因包括需要使用新的加密密钥,更改密码套件或启动新的会话。 要强制完全重新认证,在开始此握手之前,当前会话可能无效。

        如果数据已经在连接上发送,则在此握手期间它继续流动。 当握手完成时,会发出一个事件信号。 该方法对于连接上的初始握手是同步的,并且在协商的握手完成时返回。 某些协议可能不支持现有套接字上的多次握手,并可能会导致IOException异常。

        异常
        IOException - 网络级错误
        另请参见:
        addHandshakeCompletedListener(HandshakeCompletedListener)

      • setUseClientMode

        public abstract void setUseClientMode​(boolean mode)
        在握手时,将套接字配置为使用客户端(或服务器)模式。

        在发生任何握手之前必须调用此方法。 一旦握手已经开始,在该插座的使用寿命内不能重置该模式。

        服务器通常认证自己,客户端不需要这样做。

        参数
        mode - 如果套接字应在“客户端”模式下开始握手, mode true
        异常
        IllegalArgumentException - 如果在初始握手开始后尝试模式更改。
        另请参见:
        getUseClientMode()

      • getUseClientMode

        public abstract boolean getUseClientMode​()
        如果在握手时将套接字设置为使用客户端模式,则返回true。
        结果
        如果套接字应该在“客户端”模式下进行握手,则为true
        另请参见:
        setUseClientMode(boolean)

      • setNeedClientAuth

        public abstract void setNeedClientAuth​(boolean need)
        配置套接字以要求客户端认证。 此选项仅对服务器模式下的套接字有用。

        套接字的客户端验证设置是以下之一:

        • 需要客户端验证
        • 客户端认证请求
        • 不需要客户端认证

        setWantClientAuth(boolean)不同,如果设置了此选项,并且客户端选择不提供有关其自身的身份验证信息, 则协商将停止,并且连接将被删除

        调用此方法将覆盖由此方法或setWantClientAuth(boolean)进行的任何以前的设置。

        参数
        need - 如果需要客户端验证,则设置为true;如果不需要客户端验证,则设置为false。
        另请参见:
        getNeedClientAuth()setWantClientAuth(boolean)getWantClientAuth()setUseClientMode(boolean)

      • setWantClientAuth

        public abstract void setWantClientAuth​(boolean want)
        配置套接字以请求客户端认证。 此选项仅对服务器模式下的套接字有用。

        套接字的客户端验证设置是以下之一:

        • 需要客户端验证
        • 客户端认证请求
        • 不需要客户端认证

        setNeedClientAuth(boolean)不同,如果设置了此选项,并且客户端选择不提供有关其自身的身份验证信息, 则协商将继续进行

        调用此方法将覆盖此方法或setNeedClientAuth(boolean)所做的任何以前的设置。

        参数
        want - 如果客户端认证被请求,设置为true,如果不需要客户端认证,则设置为false。
        另请参见:
        getWantClientAuth()setNeedClientAuth(boolean)getNeedClientAuth()setUseClientMode(boolean)

      • setEnableSessionCreation

        public abstract void setEnableSessionCreation​(boolean flag)
        控制此套接字是否可以建立新的SSL会话。 如果不允许会话创建,并且没有现有的会话恢复,则不会有成功的握手。
        参数
        flag - true表示可以创建会话; 这是默认值。 false表示必须恢复现有会话
        另请参见:
        getEnableSessionCreation()

      • getEnableSessionCreation

        public abstract boolean getEnableSessionCreation​()
        如果此套接字可能建立新的SSL会话,则返回true。
        结果
        true表示可以创建会话; 这是默认值。 false表示必须恢复现有会话
        另请参见:
        setEnableSessionCreation(boolean)

      • getSSLParameters

        public SSLParameters getSSLParameters​()
        返回此SSLSocket有效的SSLParameters。 返回的SSLParameters的密码和协议始终不为空。
        结果
        此SSLSocket的SSLParameters有效。
        从以下版本开始:
        1.6

      • setSSLParameters

        public void setSSLParameters​(SSLParameters params)
        将SSLParameters应用于此套接字。

        意即:

        • 如果params.getCipherSuites()不为空,则使用该值调用setEnabledCipherSuites()
        • 如果params.getProtocols()为非空值,则使用该值调用setEnabledProtocols()
        • 如果params.getNeedClientAuth()params.getWantClientAuth()返回true ,分别调用setNeedClientAuth(true)setWantClientAuth(true) ; 否则setWantClientAuth(false)
        • 如果params.getServerNames()为非空值,则套接字将使用该值配置其服务器名称。
        • 如果params.getSNIMatchers()为非空值,则套接字将使用该值配置其SNI匹配器。
        参数
        params - 参数
        异常
        IllegalArgumentException - 如果setEnabledCipherSuites()或setEnabledProtocols()调用失败
        从以下版本开始:
        1.6

      • getApplicationProtocol

        public String getApplicationProtocol​()
        返回为此连接协商的最新应用程序协议值。

        如果基础SSL / TLS / DTLS实现支持,应用程序名称协商机制(如应用层协议协商(ALPN)) RFC 7301可以协商对等体之间的应用级别值。

        实现要求:
        此类中的实现抛出 UnsupportedOperationException并且不执行其他操作。
        结果
        如果尚未确定应用程序协议是否可用于此连接, String空,如果应用协议值不被使用 StringString如果成功协商值, String空的应用协议 String
        异常
        UnsupportedOperationException - 如果底层提供程序不实现该操作。
        从以下版本开始:
        9

      • getHandshakeApplicationProtocol

        public String getHandshakeApplicationProtocol​()
        返回当前正在进行的SSL / TLS握手协商的应用协议值。

        getHandshakeSession()一样,连接可能在握手的中间。 应用协议可能已经或可能还没有可用。

        实现要求:
        此类中的实现将抛出 UnsupportedOperationException并且不执行其他操作。
        结果
        如果尚未确定应用程序协议是否可用于此握手, String空,如果应用协议值不被使用 StringString如果成功协商值, String空的应用协议 String
        异常
        UnsupportedOperationException - 如果底层提供程序未实现该操作。
        从以下版本开始:
        9

      • setHandshakeApplicationProtocolSelector

        public void setHandshakeApplicationProtocolSelector​(BiFunction<SSLSocket,List<String>,String> selector)
        注册回调函数,为SSL / TLS / DTLS握手选择应用程序协议值。 该函数将覆盖使用SSLParameters.setApplicationProtocols提供的任何值,并且它支持以下类型参数:
        SSLSocket
        The function's first argument allows the current SSLSocket to be inspected, including the handshake session and configuration settings.
        List<String>
        The function's second argument lists the application protocol names advertised by the TLS peer.
        String
        The function's result is an application protocol name, or null to indicate that none of the advertised names are acceptable. If the return value is an empty String then application protocol indications will not be used. If the return value is null (no value chosen) or is a value that was not advertised by the peer, the underlying protocol will determine what action to take. (For example, ALPN will send a "no_application_protocol" alert and terminate the connection.)
        例如,以下调用注册一个回调函数,该函数检查TLS握手参数并选择一个应用协议名称: 
           serverSocket.setHandshakeApplicationProtocolSelector( (serverSocket, clientProtocols) -> { SSLSession session = serverSocket.getHandshakeSession(); return chooseApplicationProtocol( serverSocket, clientProtocols, session.getProtocol(), session.getCipherSuite()); });
        API Note:
        在TLS握手开始之前,此方法应由TLS服务器应用程序调用。 此外,该SSLSocket应配置与回调函数选择的应用程序协议兼容的参数。 例如,使密码套件选择不佳可能导致没有合适的应用协议。 SSLParameters
        实现要求:
        此类中的实现将抛出 UnsupportedOperationException并且不执行其他操作。
        参数
        selector - 回调函数,或取消注册为null。
        异常
        UnsupportedOperationException - 如果底层提供程序未实现该操作。
        从以下版本开始:
        9

      • getHandshakeApplicationProtocolSelector

        public BiFunction<SSLSocket,List<String>,String> getHandshakeApplicationProtocolSelector​()
        检索在SSL / TLS / DTLS握手期间选择应用协议值的回调函数。 有关函数的类型参数,请参见setHandshakeApplicationProtocolSelector
        实现要求:
        此类中的实现会抛出 UnsupportedOperationException并且不执行其他操作。
        结果
        回调函数,如果没有设置则返回null。
        异常
        UnsupportedOperationException - 如果底层提供程序未实现该操作。
        从以下版本开始:
        9