您可以通过获取上的
javax.servlet.request.X509Certificate属性来获取客户端证书链
HttpServletRequest。这是阵列
X509Certificate小号其中第一个(位置0)是实际的客户端证书(该链的其余部分如果需要中间CA证书可以存在)。
X509Certificate certs[] = (X509Certificate[])req.getAttribute("javax.servlet.request.X509Certificate");// ... Test if non-null, non-empty.X509Certificate clientCert = certs[0];// Get the Subject DN's X500PrincipalX500Principal subjectDN = clientCert.getSubjectX500Principal();然后,您可以按照此答案中的描述在此主体(例如CN)中获得各种RDN(相对专有名称):
import javax.naming.ldap.LdapName;import javax.naming.ldap.Rdn;String dn = subjectDN.getName();LdapName ldapDN = new LdapName(dn);for(Rdn rdn: ldapDN.getRdns()) { System.out.println(rdn.getType() + " -> " + rdn.getValue());}(您也可以使用BouncyCastle
X509Name来获取每个RDN。)
在X.509证书中,主题DN是RDN的有序序列,每个RDN都是一组AVA(属性值断言),例如
CN=...或
O=...。原则上,每个RDN可以有多个AVA,这会在这里引起问题,但这很少见。您几乎可以假设每个RDN只有一个AVA。
