src/main/java/org/openecomp/restclient/rest/RestClientBuilder.java

   1 /**\r
   2  * ============LICENSE_START=======================================================\r
   3  * org.onap.aai\r
   4  * ================================================================================\r
   5  * Copyright © 2017 AT&T Intellectual Property. All rights reserved.\r
   6  * Copyright © 2017 Amdocs\r
   7  * ================================================================================\r
   8  * Licensed under the Apache License, Version 2.0 (the "License");\r
   9  * you may not use this file except in compliance with the License.\r
  10  * You may obtain a copy of the License at\r
  11  *\r
  12  *       http://www.apache.org/licenses/LICENSE-2.0\r
  13  *\r
  14  * Unless required by applicable law or agreed to in writing, software\r
  15  * distributed under the License is distributed on an "AS IS" BASIS,\r
  16  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.\r
  17  * See the License for the specific language governing permissions and\r
  18  * limitations under the License.\r
  19  * ============LICENSE_END=========================================================\r
  20  *\r
  21  * ECOMP is a trademark and service mark of AT&T Intellectual Property.\r
  22  */\r
  23 package org.openecomp.restclient.rest;\r
  24 \r
  25 import java.io.FileInputStream;\r
  26 import java.security.KeyStore;\r
  27 import java.security.cert.X509Certificate;\r
  28 \r
  29 import javax.net.ssl.HostnameVerifier;\r
  30 import javax.net.ssl.KeyManagerFactory;\r
  31 import javax.net.ssl.SSLContext;\r
  32 import javax.net.ssl.SSLSession;\r
  33 import javax.net.ssl.TrustManager;\r
  34 import javax.net.ssl.X509TrustManager;\r
  35 \r
  36 import org.openecomp.restclient.enums.RestAuthenticationMode;\r
  37 \r
  38 import com.sun.jersey.api.client.Client;\r
  39 import com.sun.jersey.api.client.config.ClientConfig;\r
  40 import com.sun.jersey.api.client.config.DefaultClientConfig;\r
  41 import com.sun.jersey.client.urlconnection.HTTPSProperties;\r
  42 \r
  43 /**\r
  44  * This is a generic REST Client builder with flexible security validation. Sometimes it's nice to\r
  45  * be able to disable server chain cert validation and hostname validation to work-around lab\r
  46  * issues, but at the same time be able to provide complete validation with client cert + hostname +\r
  47  * server cert chain validation. I used the ModelLoader REST client as a base and merged in the TSUI\r
  48  * client I wrote which also validates the server hostname and server certificate chain.\r
  49  */\r
  50 public class RestClientBuilder {\r
  51 \r
  52   public static final boolean DEFAULT_VALIDATE_SERVER_HOST = false;\r
  53   public static final boolean DEFAULT_VALIDATE_CERT_CHAIN = false;\r
  54   public static final String DEFAULT_CLIENT_CERT_FILENAME = null;\r
  55   public static final String DEFAULT_CERT_PASSWORD = null;\r
  56   public static final String DEFAULT_TRUST_STORE_FILENAME = null;\r
  57   public static final int DEFAULT_CONNECT_TIMEOUT_MS = 60000;\r
  58   public static final int DEFAULT_READ_TIMEOUT_MS = 60000;\r
  59   public static final RestAuthenticationMode DEFAULT_AUTH_MODE = RestAuthenticationMode.SSL_CERT;\r
  60   public static final String DEFAULT_BASIC_AUTH_USERNAME = "";\r
  61   public static final String DEFAULT_BASIC_AUTH_PASSWORD = "";\r
  62 \r
  63   private static final String SSL_PROTOCOL = "TLS";\r
  64   private static final String KEYSTORE_ALGORITHM = "SunX509";\r
  65   private static final String KEYSTORE_TYPE = "PKCS12";\r
  66   private static final String TRUST_STORE_PROPERTY = "javax.net.ssl.trustStore";\r
  67 \r
  68   private boolean validateServerHostname;\r
  69   private boolean validateServerCertChain;\r
  70   private String clientCertFileName;\r
  71   private String clientCertPassword;\r
  72   private String truststoreFilename;\r
  73   private int connectTimeoutInMs;\r
  74   private int readTimeoutInMs;\r
  75   private RestAuthenticationMode authenticationMode;\r
  76   private String basicAuthUsername;\r
  77   private String basicAuthPassword;\r
  78 \r
  79   /**\r
  80    * Rest Client Builder.\r
  81    */\r
  82   public RestClientBuilder() {\r
  83     validateServerHostname = DEFAULT_VALIDATE_SERVER_HOST;\r
  84     validateServerCertChain = DEFAULT_VALIDATE_CERT_CHAIN;\r
  85     clientCertFileName = DEFAULT_CLIENT_CERT_FILENAME;\r
  86     clientCertPassword = DEFAULT_CERT_PASSWORD;\r
  87     truststoreFilename = DEFAULT_TRUST_STORE_FILENAME;\r
  88     connectTimeoutInMs = DEFAULT_CONNECT_TIMEOUT_MS;\r
  89     readTimeoutInMs = DEFAULT_READ_TIMEOUT_MS;\r
  90     authenticationMode = DEFAULT_AUTH_MODE;\r
  91     basicAuthUsername = DEFAULT_BASIC_AUTH_USERNAME;\r
  92     basicAuthPassword = DEFAULT_BASIC_AUTH_PASSWORD;\r
  93   }\r
  94 \r
  95   public boolean isValidateServerHostname() {\r
  96     return validateServerHostname;\r
  97   }\r
  98 \r
  99   public void setValidateServerHostname(boolean validateServerHostname) {\r
 100     this.validateServerHostname = validateServerHostname;\r
 101   }\r
 102 \r
 103   public boolean isValidateServerCertChain() {\r
 104     return validateServerCertChain;\r
 105   }\r
 106 \r
 107   public void setValidateServerCertChain(boolean validateServerCertChain) {\r
 108     this.validateServerCertChain = validateServerCertChain;\r
 109   }\r
 110 \r
 111   public String getClientCertFileName() {\r
 112     return clientCertFileName;\r
 113   }\r
 114 \r
 115   public void setClientCertFileName(String clientCertFileName) {\r
 116     this.clientCertFileName = clientCertFileName;\r
 117   }\r
 118 \r
 119   public String getClientCertPassword() {\r
 120     return clientCertPassword;\r
 121   }\r
 122 \r
 123   public void setClientCertPassword(String clientCertPassword) {\r
 124     this.clientCertPassword = clientCertPassword;\r
 125   }\r
 126 \r
 127   public String getTruststoreFilename() {\r
 128     return truststoreFilename;\r
 129   }\r
 130 \r
 131   public void setTruststoreFilename(String truststoreFilename) {\r
 132     this.truststoreFilename = truststoreFilename;\r
 133   }\r
 134 \r
 135   public int getConnectTimeoutInMs() {\r
 136     return connectTimeoutInMs;\r
 137   }\r
 138 \r
 139   public void setConnectTimeoutInMs(int connectTimeoutInMs) {\r
 140     this.connectTimeoutInMs = connectTimeoutInMs;\r
 141   }\r
 142 \r
 143   public int getReadTimeoutInMs() {\r
 144     return readTimeoutInMs;\r
 145   }\r
 146 \r
 147   public void setReadTimeoutInMs(int readTimeoutInMs) {\r
 148     this.readTimeoutInMs = readTimeoutInMs;\r
 149   }\r
 150 \r
 151 \r
 152 \r
 153   public RestAuthenticationMode getAuthenticationMode() {\r
 154     return authenticationMode;\r
 155   }\r
 156 \r
 157   public void setAuthenticationMode(RestAuthenticationMode authenticationMode) {\r
 158     this.authenticationMode = authenticationMode;\r
 159   }\r
 160 \r
 161   public String getBasicAuthUsername() {\r
 162     return basicAuthUsername;\r
 163   }\r
 164 \r
 165   public void setBasicAuthUsername(String basicAuthUsername) {\r
 166     this.basicAuthUsername = basicAuthUsername;\r
 167   }\r
 168 \r
 169   public String getBasicAuthPassword() {\r
 170     return basicAuthPassword;\r
 171   }\r
 172 \r
 173   public void setBasicAuthPassword(String basicAuthPassword) {\r
 174     this.basicAuthPassword = basicAuthPassword;\r
 175   }\r
 176 \r
 177   /**\r
 178    * Returns Client configured for SSL\r
 179    */\r
 180   public Client getClient() throws Exception {\r
 181 \r
 182     switch (authenticationMode) {\r
 183       case SSL_BASIC:\r
 184       case SSL_CERT:\r
 185         return getClient(true);\r
 186 \r
 187       default:\r
 188         // return basic non-authenticating HTTP client\r
 189         return getClient(false);\r
 190     }\r
 191 \r
 192   }\r
 193 \r
 194   protected void setupSecureSocketLayerClientConfig(ClientConfig clientConfig) throws Exception {\r
 195     // Check to see if we need to perform proper validation of\r
 196     // the certificate chains.\r
 197     TrustManager[] trustAllCerts = null;\r
 198     if (validateServerCertChain) {\r
 199       if (truststoreFilename != null) {\r
 200         System.setProperty(TRUST_STORE_PROPERTY, truststoreFilename);\r
 201       } else {\r
 202         throw new IllegalArgumentException("Trust store filename must be set!");\r
 203       }\r
 204 \r
 205     } else {\r
 206 \r
 207       // We aren't validating certificates, so create a trust manager that does\r
 208       // not validate certificate chains.\r
 209       trustAllCerts = new TrustManager[] {new X509TrustManager() {\r
 210         public X509Certificate[] getAcceptedIssuers() {\r
 211           return null;\r
 212         }\r
 213 \r
 214         public void checkClientTrusted(X509Certificate[] certs, String authType) {}\r
 215 \r
 216         public void checkServerTrusted(X509Certificate[] certs, String authType) {}\r
 217       }};\r
 218     }\r
 219 \r
 220     // Set up the SSL context, keystore, etc. to use for our connection\r
 221     // to the AAI.\r
 222     SSLContext ctx = SSLContext.getInstance(SSL_PROTOCOL);\r
 223     KeyManagerFactory kmf = KeyManagerFactory.getInstance(KEYSTORE_ALGORITHM);\r
 224     KeyStore ks = KeyStore.getInstance(KEYSTORE_TYPE);\r
 225 \r
 226     char[] pwd = null;\r
 227     if (clientCertPassword != null) {\r
 228       pwd = clientCertPassword.toCharArray();\r
 229     }\r
 230 \r
 231     if (clientCertFileName != null) {\r
 232       FileInputStream fin = new FileInputStream(clientCertFileName);\r
 233 \r
 234       // Load the keystore and initialize the key manager factory.\r
 235       ks.load(fin, pwd);\r
 236       kmf.init(ks, pwd);\r
 237 \r
 238       ctx.init(kmf.getKeyManagers(), trustAllCerts, null);\r
 239     } else {\r
 240       ctx.init(null, trustAllCerts, null);\r
 241     }\r
 242 \r
 243     // Are we performing validation of the server host name?\r
 244     if (validateServerHostname) {\r
 245       clientConfig.getProperties().put(HTTPSProperties.PROPERTY_HTTPS_PROPERTIES,\r
 246           new HTTPSProperties(null, ctx));\r
 247 \r
 248     } else {\r
 249       clientConfig.getProperties().put(HTTPSProperties.PROPERTY_HTTPS_PROPERTIES,\r
 250           new HTTPSProperties(new HostnameVerifier() {\r
 251             @Override\r
 252             public boolean verify(String str, SSLSession sslSession) {\r
 253               return true;\r
 254             }\r
 255           }, ctx));\r
 256     }\r
 257   }\r
 258 \r
 259 \r
 260   /**\r
 261    * Returns client instance\r
 262    * \r
 263    * @param useSsl - used to configure the client with an ssl-context or just plain http\r
 264    */\r
 265   protected Client getClient(boolean useSsl) throws Exception {\r
 266 \r
 267     ClientConfig clientConfig = new DefaultClientConfig();\r
 268 \r
 269     if (useSsl) {\r
 270       setupSecureSocketLayerClientConfig(clientConfig);\r
 271     }\r
 272 \r
 273     // Finally, create and initialize our client...\r
 274     Client client = null;\r
 275     client = Client.create(clientConfig);\r
 276     client.setConnectTimeout(connectTimeoutInMs);\r
 277     client.setReadTimeout(readTimeoutInMs);\r
 278 \r
 279     // ...and return it to the caller.\r
 280     return client;\r
 281   }\r
 282 \r
 283   public String getBasicAuthenticationCredentials() {\r
 284 \r
 285     String usernameAndPassword = getBasicAuthUsername() + ":" + getBasicAuthPassword();\r
 286     return "Basic " + java.util.Base64.getEncoder().encodeToString(usernameAndPassword.getBytes());\r
 287   }\r
 288 \r
 289   /* \r
 290    * Added a little bit of logic to obfuscate passwords that could be logged out\r
 291    * (non-Javadoc)\r
 292    * @see java.lang.Object#toString()\r
 293    */\r
 294   @Override\r
 295   public String toString() {\r
 296     return "RestClientBuilder [validateServerHostname=" + validateServerHostname\r
 297         + ", validateServerCertChain=" + validateServerCertChain + ", "\r
 298         + (clientCertFileName != null ? "clientCertFileName=" + clientCertFileName + ", " : "")\r
 299         + (clientCertPassword != null\r
 300             ? "clientCertPassword="\r
 301                 + java.util.Base64.getEncoder().encodeToString(clientCertPassword.getBytes()) + ", "\r
 302             : "")\r
 303         + (truststoreFilename != null ? "truststoreFilename=" + truststoreFilename + ", " : "")\r
 304         + "connectTimeoutInMs=" + connectTimeoutInMs + ", readTimeoutInMs=" + readTimeoutInMs + ", "\r
 305         + (authenticationMode != null ? "authenticationMode=" + authenticationMode + ", " : "")\r
 306         + (basicAuthUsername != null ? "basicAuthUsername=" + basicAuthUsername + ", " : "")\r
 307         + (basicAuthPassword != null ? "basicAuthPassword="\r
 308             + java.util.Base64.getEncoder().encodeToString(basicAuthPassword.getBytes()) : "")\r
 309         + "]";\r
 310   }\r
 311 \r
 312 }\r