Как я могу получить сертификат клиента в обработчике Netty для идентификации пользователя?

Question

Я успешно запускаю Netty с двухсторонним SSL (см. Set up Netty with 2-way SSL Handsake (client and server certificate)).

Однако в некоторых из моих обработчиков мне нужно знать о пользователе, который использует приложение. Я обнаружил, что не могу понять, как получить информацию, такую ​​как DN сертификата пользователя в моих обработчиках.

Я бы подумал, что он будет доступен в ChannelHandlerContext где-то, но это не так. Какие-либо предложения?

Я знаю, что SSLEngine имеет к нему доступ где-то, но я ничего не вижу о получении доступа в публичном API SSLEngine. Я знаю, что у него есть доступ к рукопожатию ... но как мне его получить?

Answer 1

SSLEngine.getSession().getPeerCertificateChain(). Заглавная запись - это собственный сертификат партнера.

Answer 2

The SSLEngine может быть извлечена через Pipline/ChannelHandlerContext

ChannelHandlerContext ctx = ... 
SslHandler sslhandler = (SslHandler) ctx.channel().pipeline().get("ssl"); 
sslhandler.engine().getSession().getPeerCertificateChain()[0].getSubjectDN()); 

Это позволяет получить сертификаты в обработчике объектов. Обратите внимание, что SSL-Handshake необходимо завершить, когда вы это сделаете. В противном случае вы получите

javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated 

исключение. Чтобы избежать этого, вы можете слушать для userEvent (в нашем случае HandshakeCompletionEvent) в обработчик, который может выглядеть следующим образом:

@Override 
public void userEventTriggered(ChannelHandlerContext ctx, Object evt) { 
    logger.info("userEventTriggered: {0}, Class: {1}", evt.toString(), evt.getClass()); 

    if (evt instanceof HandshakeCompletionEvent) { 
     fetchCertificate(ctx); 
    } 
}