Boost Asio https 同步调用 - 错误代码 400 错误请求

【问题标题】:Boost Asio https synchronous call- Error code 400 bad requestBoost Asio https 同步调用 - 错误代码 400 错误请求
【发布时间】:2020-11-27 17:37:31
【问题描述】:

我们正在从 http 迁移到 https boost asio sysnchornous 调用,我正在使用下面的代码进行带有 ssl 证书验证的 https 同步调用。我们获得了证书颁发机构颁发的客户证书,并以 .pem 格式下载了它。我们有以下问题:

1.) 如何在 boost asio 中加载证书;我们可以使用如下路径加载证书文件吗:

boost::asio::streambuf response_;
boost::asio::ssl::context ctx(boost::asio::ssl::context::sslv23);
ctx.set_verify_mode(boost::asio::ssl::verify_peer);
//ctx.set_default_verify_paths();
**ctx.load_verify_file("/tmp/cacert.pem");**
ctx.set_options(boost::asio::ssl::context::default_workarounds |
       boost::asio::ssl::context::no_sslv2 |
       boost::asio::ssl::context::no_sslv3);
boost::asio::ssl::stream<boost::asio::ip::tcp::socket> socket(io_service,ctx);

2.) 同步 https 调用中对等验证的目的是什么;我们可以像下面这样在没有对等验证的情况下进行握手吗?

tcp::resolver resolver(io_service);
tcp::resolver::query query(hostname, port_no);

tcp::resolver::iterator endpoint_iterator = resolver.resolve(query);
tcp::resolver::iterator end;

boost::system::error_code error  = boost::asio::error::host_not_found;
boost::asio::connect(socket.lowest_layer(), endpoint_iterator, error);
socket.handshake(boost::asio::ssl::stream_base::client);

3.) 当我使用 ssl 验证访问端点 url 时,我收到错误请求错误代码 400。请验证以下代码,如果我缺少与 ssl 证书部分相关的内容,请告诉我(注意:请求标头和消息在更改为 https 之前工作正常):

boost::asio::streambuf response_;
boost::asio::ssl::context ctx(boost::asio::ssl::context::sslv23);
ctx.set_verify_mode(boost::asio::ssl::verify_peer);
ctx.load_verify_file("/tmp/cacert.pem");
ctx.set_options(boost::asio::ssl::context::default_workarounds |
       boost::asio::ssl::context::no_sslv2 |
       boost::asio::ssl::context::no_sslv3);
boost::asio::ssl::stream<boost::asio::ip::tcp::socket> socket(io_service,ctx);

std::ostream request_stream(&request_);
request_stream << "POST " << server_endpoint << " HTTP/1.1\n";
request_stream << "Host: " << hostname << "\n";
request_stream << "Accept: */*\n";
request_stream << authorization_token << "\n";
request_stream << client_name << "\n";
request_stream << "Content-Length: " << req_str.length() << "\n";
request_stream << "Content-Type: application/x-www-form-urlencoded \n";
request_stream << "Connection: close\r\n\r\n";
request_stream << req_str << "\n";
tcp::resolver resolver(io_service);
tcp::resolver::query query(hostname, port_no);

tcp::resolver::iterator endpoint_iterator = resolver.resolve(query);
tcp::resolver::iterator end;

boost::system::error_code error  = boost::asio::error::host_not_found;
boost::asio::connect(socket.lowest_layer(), endpoint_iterator, error);
socket.handshake(boost::asio::ssl::stream_base::client);

谢谢

【问题讨论】:

  • 尝试一次只问 1 个问题。毫无疑问,其他问题是现有(已回答)问题的重复,并且与标题内容完全不同。

标签: c++ ssl https boost-asio bad-request


【解决方案1】:

你的要求不好:)

HTTP 要求 CR+LF 行结束。所以,无论你在哪里单独使用\n,它都必须是\r\n

完整的工作示例

我完成了您的样品以进行测试。我可能(?)已经回答了您关于证书的问题 - 或部分 - 通过使用

    //ctx.load_verify_file("ca.pem");
    ctx.add_verify_path("/etc/ssl/certs");

这使用大多数 Linux 系统将存储默认证书存储的位置,这意味着通常在系统范围内受信任的证书。

上市:

#include <boost/asio.hpp>
#include <boost/asio/ssl.hpp>
#include <iostream>
using boost::asio::ip::tcp;

// https://postman-echo.com/post see https://docs.postman-echo.com/?version=latest
static const std::string
    server_endpoint = "/post",
    hostname = "postman-echo.com",
    port_no = "443",
    authorization_token =
        "Auth: "
        "c3RhdGljIGNvbnN0IHN0ZDo6c3RyaW5nIGF1dGhvcml6YXRpb"
        "25fdG9rZW4gPSAiQXV0aDogIj"
        "sK",
    client_name = "User-Agent: demo program 0.01",
    req_str = R"(name=blabla&password=bloblo)";

int main() {
    boost::asio::io_service io_service;
    boost::asio::ssl::context ctx(boost::asio::ssl::context::sslv23);

    ctx.set_verify_mode(boost::asio::ssl::verify_peer);
    //ctx.load_verify_file("ca.pem");
    ctx.add_verify_path("/etc/ssl/certs");

    ctx.set_options(boost::asio::ssl::context::default_workarounds |
                    boost::asio::ssl::context::no_sslv2 |
                    boost::asio::ssl::context::no_sslv3);
    boost::asio::ssl::stream<boost::asio::ip::tcp::socket> socket(io_service,
                                                                  ctx);

    {
        tcp::resolver resolver(io_service);
        tcp::resolver::query query(hostname, port_no);

        tcp::resolver::iterator endpoint_iterator = resolver.resolve(query);
        tcp::resolver::iterator end;

        boost::system::error_code error = boost::asio::error::host_not_found;
        boost::asio::connect(socket.lowest_layer(), endpoint_iterator, error);
    }

    {
        boost::asio::streambuf request_;
        socket.handshake(boost::asio::ssl::stream_base::client);
        {
            std::ostream request_stream(&request_);
            request_stream << "POST " << server_endpoint << " HTTP/1.1\r\n";
            request_stream << "Host: " << hostname << "\r\n";
            request_stream << "Accept: */*\r\n";
            request_stream << authorization_token << "\r\n";
            request_stream << client_name << "\r\n";
            request_stream << "Content-Length: " << req_str.length() << "\r\n";
            request_stream << "Content-Type: application/x-www-form-urlencoded \r\n";
            request_stream << "Connection: close\r\n\r\n";
            request_stream << req_str << "\r\n";
        } // forces flush()
        //std::cout << &request_;
        //std::cout << "--------" << std::endl;

        write(socket, request_);
        //socket.lowest_layer().shutdown(tcp::socket::shutdown_send);
    }

    {
        boost::asio::streambuf response_;
        boost::system::error_code ec;
        read(socket, response_, ec);
        
        std::cout << "ec: " << ec.message() << "\n";
        std::cout << &response_ << "\n";
    }
}

它使用the postman online sample service 并打印:

ec: stream truncated
HTTP/1.1 200 OK
Date: Fri, 07 Aug 2020 16:23:04 GMT
Content-Type: application/json; charset=utf-8
Content-Length: 519
Connection: close
ETag: W/"207-JMbCSlSXSCnZPMi2WQ8SuP+keys"
Vary: Accept-Encoding
set-cookie: sails.sid=s%3AFBof16WW2UeR2Si6dtf9WRUfKiJbpIhH.O2YgXPhClKJKnJ0bmTFuyl%2FyKNyS3oADFbDHHt4UKX8; Path=/; HttpOnly

{"args":{},"data":"","files":{},"form":{"name":"blabla","password":"bloblo"},"headers":{"x-forwarded-proto":"https","x-forwarded-port":"443","host":"postman-echo.com","x-amzn-trace-id":"Root=1-5f2d7fe8-0348dee860e746ac828f4d80","content-length":"27","accept":"*/*","auth":"c3RhdGljIGNvbnN0IHN0ZDo6c3RyaW5nIGF1dGhvcml6YXRpb25fdG9rZW4gPSAiQXV0aDogIjsK","user-agent":"demo program 0.01","content-type":"application/x-www-form-urlencoded"},"json":{"name":"blabla","password":"bloblo"},"url":"https://postman-echo.com/post"}

stream truncated 可能是预期的:https://github.com/boostorg/beast/issues/38

【讨论】:

  • 您好,我已经尝试使用 http 进行相同的请求,我们得到了来自 http 端点 url 的响应。它是特定于 Https 请求的吗?
  • 它只能依赖于服务器 - 所以如果 HTTPS 服务器运行不同的实现,它可能会。在任何情况下,如果您可以修复它,则无需发送无效请求:) 我已经更新了答案以包含我测试过的工作示例 - 包括输出。
  • 感谢您的帮助。我已经按照您的建议进行了尝试(通过将 \n 替换为 \r\n),现在错误代码已从 400(错误请求)更改为 404,明天将与目标系统检查此错误。我们有获得客户证书的组织标准,需要由证书颁发机构颁发;所以我使用了 ctx.load_verify_file("/home/sysusr/cert/ca.pem", ec);加载客户端证书,基于哪个目标系统将验证其是否由正确的受信任机构颁发。这样好吗?
  • 听起来不错。如果您需要多个 CA,将add_verify_path 与您自己的目录一起使用可能更自然(记住c_rehash!)。此外,“客户端证书”是a different thing in SSL/TLS jargonverify 函数仅适用于验证远程端点的证书
  • 我们还需要使用客户端证书以及根/中间 ca 证书,正如您建议的那样,我们需要使用 add_verify_path,您能否建议如何为 .pem 和 .cer 生成哈希值在 redhat linux 中格式化文件?
猜你喜欢
相关资源
最近更新 更多
热门标签
Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式