前期對接了一個通過ssh免密登錄的需求,是基於原先密碼登錄sftp服務器的代碼上進行改造,實際上代碼改動量非常少,趁此機會對自己整理的資料做一下總結。
1. 什么是SFTP
SFTP是一個安全文件傳送協議,可以為傳輸文件提供一種安全的加密方法。SFTP 為 SSH的一部份,是一種傳輸文件到服務器的安全方式。SFTP是使用加密傳輸認證信息和傳輸的數據,所以,使用SFTP是非常安全的。但是,由於這種傳輸方式使用了加密/解密技術,所以傳輸效率比普通的FTP要低得多,如果您對網絡安全性要求更高時,可以使用SFTP代替FTP。
2. 什么是Jsch以及它的作用
Jsch是一個純粹的用java實現SSH功能的java library。如果要知道Jsch的功能需先了解一下SSH。SSH是一個安全協議,用來在不同系統或者服務器之間進行安全連接,在連接和傳送數據的過程中會進行加密。SSH一般是基於客戶端的或者Linux命令行,比如window同過OpenSSH、putty等客戶端的工具,在linux上可以通過ssh username@host命令進行連接。但是如果在Java中如何實現SSH呢?這時候便是通過JSCH來實現此的功能。
3. sftp服務器認證機制
Jsch提供了四種認證機制:
- password 密碼方式
- publickey(DSA,RSA) 公私鑰方式
- keyboard-interactive
- gss-api-with-mic
其中publickey方式通過配置公私鑰實現SSH免密登錄,這里也只是簡單講一下它的使用,深入使用和需要自己研究。
4. publickey和password兩種方式登錄sftp的API調用
SSH公鑰檢查機制:
公鑰檢查機制是一個安全機制,可以防范中間人劫持等黑客攻擊。SSH連接遠程主機時,會檢查主機的公鑰。如果是第一次該主機,會顯示該主機的公鑰摘要,提示用戶是否信任該主機。當選擇接受,就會將該主機的公鑰追加到文件 ~/.ssh/known_hosts 中。當再次連接該主機時,就不會再提示該問題了。 但是在某些特殊的情況下,嚴格的SSH公鑰檢查可能會破壞一些依賴SSH協議的自動化任務如Java的Jsch免密登錄sftp程序。解決方式為調整StrictHostKeyChecking配置指令。StrictHostKeyChecking選項如下3種:
- no 最不安全的級別,當然也沒有那么多煩人的提示了,相對安全的內網測試時建議使用。如果連接server的key在本地不存在,那么就自動添加到文件中(默認是known_hosts),並且給出一個警告。
- ask 默認的級別,就是出現剛才的提示了。如果連接和key不匹配,給出提示,並拒絕登錄。
- yes 最安全的級別,如果連接與key不匹配,就拒絕連接,不會提示詳細信息。
下面根據password來分析publickey方式與其區別:
- 原來password方式需要這樣一段代碼來設置密碼:session.setPassword (properties.getPassword ()); ,但是ssh key的方式就沒有password了,所以這段要刪掉。
- publickey需要設置我們的ssh私鑰文件的全路徑(privateKeyFile):jsch.addIdentity (properties.getPrivateKeyFile ());
- 一般私鑰文件需要口令(passphrase)才能讀取,這需要設置一個配置類對象,在jsch里其實需要自己搞一個簡單的接口實現(如下:SftpAuthKeyUserInfo類 ),然后增加:session.setUserInfo(new SftpAuthKeyUserInfo (properties.getPassphrase ()));
因此代碼可以如下改造:
1. 設置配置類對象
SftpAuthKeyUserInfo.java
import com.jcraft.jsch.UserInfo; import lombok.extern.slf4j.Slf4j; /** * ssh private key passphrase info */ @Slf4j public class SftpAuthKeyUserInfo implements UserInfo { /** * ssh private key passphrase */ private String passphrase; public SftpAuthKeyUserInfo (String passphrase) { this.passphrase = passphrase; } @Override public String getPassphrase() { return passphrase; } @Override public String getPassword() { return null; } @Override public boolean promptPassphrase(String s) { return true; } @Override public boolean promptPassword(String s) { return false; } @Override public boolean promptYesNo(String s) { return true; } @Override public void showMessage(String message) { log.info ("SSH Message:{}", message); } }
2. 改造以適配publickey登錄方式
JSch jsch = new JSch(); if (StringUtils.isNotBlank(properties.getPrivateKeyFile())) { jsch.addIdentity(properties.getPrivateKeyFile()); } // 根據用戶名,主機ip,端口獲取一個Session對象 Session session = jsch.getSession(properties.getUsername(), properties.getHost(), properties.getPort()); switch (properties.getAuthType()) { case PASSWORD: Objects.requireNonNull(properties.getPassword()); session.setPassword(properties.getPassword()); break; case PUBLIC_KEY: Objects.requireNonNull(properties.getPrivateKeyFile()); if (StringUtils.isBlank(properties.getPassphrase())) { throw new IllegalArgumentException("口令不為能空(私鑰未加密時填任意值)"); } session.setUserInfo(new SftpAuthKeyUserInfo(properties.getPassphrase())); break; } // 設置timeout時間 session.setTimeout(properties.getConnectTimeout()); // 設置keep-alive消息發送間隔(milliseconds) session.setServerAliveCountMax(properties.getServerAliveCountMax()); // 設置發送keep-alive消息的最大次數 session.setServerAliveInterval(properties.getServerAliveInterval()); //第一次登陸時候,是否需要提示信息 session.setConfig("StrictHostKeyChecking", "no"); //設置ssh的DH秘鑰交換 session.setConfig("kex", "diffie-hellman-group1-sha1"); //跳過Kerberos username 身份驗證提示 session.setConfig("PreferredAuthentications", "publickey,keyboard-interactive,password"); // 通過Session建立鏈接 synchronized (properties) { session.connect(); } // 打開SFTP通道 ChannelSftp channel = (ChannelSftp) session.openChannel("sftp"); // 建立SFTP通道的連接 channel.connect(); if (log.isDebugEnabled()) { log.debug("SSH Channel connected.session={},channel={}", session, channel); }
參考: https://www.jb51.net/article/172545.htm